shar 0 Опубликовано 15 июня, 2015 Share Опубликовано 15 июня, 2015 Здравствуйте! Помогите справиться с аналогичной ситуацией. Пыталась решить проблему сама, но,к сожалению, увы). Сообщение от модератора Mark D. Pearlstone Перемещено из темы FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 15 июня, 2015 Share Опубликовано 15 июня, 2015 Порядок оформления запроса о помощи 1 Цитата Ссылка на сообщение Поделиться на другие сайты
shar 0 Опубликовано 16 июня, 2015 Автор Share Опубликовано 16 июня, 2015 Здравствуйте. На компьютере непонятно каким образом установилось порядка десяти программ, таких, как Cinema-plus, I0bit, Crossbrowse и прочих. Ярлыки всех браузеров были переименованы. Антивирус Касперского выявил порядка сорока вирусов. Была предпринята попытка справиться самостоятельно, установленные программы деинсталлированы, но при попытке открыть браузер вновь появляются окна с рекламой, куча других непонятных программ загружаются снова. Пожалуйста, помогите справиться с этой проблемой. CollectionLog-2015.06.15-14.58.zip Цитата Ссылка на сообщение Поделиться на другие сайты
shar 0 Опубликовано 16 июня, 2015 Автор Share Опубликовано 16 июня, 2015 С моим сообщением снова что-нибудь не так? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 16 июня, 2015 Share Опубликовано 16 июня, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\a64.ndubenskaya\appdata\local\kometa\kometaup.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-6.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-3.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-11.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-10.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe',''); QuarantineFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.resworb.bat',''); QuarantineFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.emorhc.bat',''); TerminateProcessByName('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\nswa593.tmp'); QuarantineFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\nswa593.tmp',''); TerminateProcessByName('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\jnsxadb2.tmp'); TerminateProcessByName('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\hnshc51a.tmp'); QuarantineFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\hnshc51a.tmp',''); DeleteFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\hnshc51a.tmp','32'); DeleteFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\jnsxadb2.tmp','32'); DeleteFile('c:\users\a64.ndubenskaya\appdata\roaming\a9f11b64-1433939212-11e2-b135-11166b145000\nswa593.tmp','32'); DeleteFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\a64.ndubenskaya\AppData\Roaming\Browsers\exe.resworb.bat','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6.job','64'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-10.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-10_user.job','64'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-11.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-11.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-3.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-3.job','64'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-5.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5_user.job','64'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-6.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-6.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV09.06\b19de1f9-0e08-4924-9143-76e3740fd50c-7.exe','32'); DeleteFile('C:\Windows\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7.job','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-6','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-1-7','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-10_user','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-11','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-3','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-5_user','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-6','64'); DeleteFile('C:\Windows\system32\Tasks\b19de1f9-0e08-4924-9143-76e3740fd50c-7','64'); DeleteFile('C:\Users\a64.ndubenskaya\appdata\local\kometa\kometaup.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам 1 Цитата Ссылка на сообщение Поделиться на другие сайты
shar 0 Опубликовано 17 июня, 2015 Автор Share Опубликовано 17 июня, 2015 Инструкции выполнены. Ответ из лаборатории Касперского: [KLAN-2877102982] Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.hnshc51a.tmp,nswa593.tmpПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.kometaup.exeВредоносный код в файле не обнаружен.С уважением, Лаборатория Касперского Файлы прилагаю. ClearLNK-17.06.2015_08-41.log CollectionLog-2015.06.17-08.55.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 июня, 2015 Share Опубликовано 17 июня, 2015 Сделайте новые логи Farbar Цитата Ссылка на сообщение Поделиться на другие сайты
shar 0 Опубликовано 17 июня, 2015 Автор Share Опубликовано 17 июня, 2015 Процесс подзавис что-то... frst.txt почему-то не могу загрузить Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 июня, 2015 Share Опубликовано 17 июня, 2015 frst.txt почему-то не могу загрузить заархивируйте Цитата Ссылка на сообщение Поделиться на другие сайты
shar 0 Опубликовано 18 июня, 2015 Автор Share Опубликовано 18 июня, 2015 Размер незаархивированного файла 57kB, заархивированного - 13 Kb... Выбираю файл, нажимаю "загрузить", файл пропадает... Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 18 июня, 2015 Share Опубликовано 18 июня, 2015 Выложите на rghost.ru 1 Цитата Ссылка на сообщение Поделиться на другие сайты
shar 0 Опубликовано 18 июня, 2015 Автор Share Опубликовано 18 июня, 2015 http://rghost.ru/private/8cKbl45B5/cc1dcf83d63fc18a20b7f2b3b533f134 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 18 июня, 2015 Share Опубликовано 18 июня, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM-x32\...\Run: [gmsd_ru_284] => [X] HKLM-x32\...\Run: [gmsd_ru_290] => [X] Startup: C:\Users\Хворова_ВА\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Pandion.lnk [2013-02-18] ShortcutTarget: Pandion.lnk -> C:\Users\a64.ndubenskaya\AppData\Local\Pandion\Application\pandion.exe (No File) HKU\S-1-5-21-2468392722-1395747204-1971261711-741278\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.depo.ru/?utm_source=homepage&utm_medium=homepage&utm_campaign=homepage; HKU\S-1-5-21-2468392722-1395747204-1971261711-741278\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp Toolbar: HKU\S-1-5-21-2468392722-1395747204-1971261711-741278 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File CHR Extension: (CinemaPlus-4.5vV09.06) - C:\Users\a64.ndubenskaya\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-06-10] CHR Extension: (chhjbpecpncaggjpdakmflnfcopglcmi) - C:\Users\a64.ndubenskaya\AppData\Local\Google\Chrome\User Data\Default\Extensions\chhjbpecpncaggjpdakmflnfcopglcmi [2015-06-15] OPR Extension: (CinemaPlus-4.5vV09.06) - C:\Users\a64.ndubenskaya\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-06-10] OPR Extension: (chhjbpecpncaggjpdakmflnfcopglcmi) - C:\Users\a64.ndubenskaya\AppData\Roaming\Opera Software\Opera Stable\Extensions\chhjbpecpncaggjpdakmflnfcopglcmi [2015-06-15] 2015-06-15 11:20 - 2015-06-15 11:20 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Roaming\Obnovi Soft 2015-06-11 09:18 - 2015-06-11 09:18 - 00000000 ____D C:\Users\Администратор\AppData\Local\Crossbrowse 2015-06-11 08:57 - 2015-06-11 08:57 - 00613255 _____ (CMI Limited) C:\Users\a64.ndubenskaya\AppData\Local\nsm3438.tmp 2015-06-11 08:56 - 2015-06-11 09:04 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Roaming\AppHelper 2015-06-10 16:00 - 2015-06-10 16:00 - 00613255 _____ (CMI Limited) C:\Users\a64.ndubenskaya\AppData\Local\nsf686F.tmp 2015-06-10 16:00 - 2015-06-10 16:00 - 00000000 __SHD C:\Users\a64.ndubenskaya\AppData\Roaming\AnyProtectEx 2015-06-10 16:00 - 2015-06-10 16:00 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\gmsd_ru_284 2015-06-10 15:59 - 2015-06-11 12:33 - 00000004 _____ C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 2015-06-10 15:59 - 2015-06-10 15:59 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\globalUpdate 2015-06-10 15:59 - 2015-06-10 15:59 - 00000000 ____D C:\Program Files (x86)\globalUpdate 2015-06-10 15:58 - 2015-06-10 15:58 - 00000000 ____D C:\Users\Хворова_ВА\AppData\Local\Crossbrowse 2015-06-10 15:58 - 2015-06-10 15:58 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\Crossbrowse 2015-06-10 15:48 - 2015-06-10 15:48 - 00001081 _____ C:\Users\a64.ndubenskaya\Desktop\Continue Live Installation.lnk 2015-06-10 15:31 - 2015-06-17 08:23 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\Kometa 2015-06-10 15:30 - 2015-06-11 09:01 - 00000000 ____D C:\Users\a64.ndubenskaya\AppData\Local\Amigo C:\Users\a64.ndubenskaya\AppData\Local\Temp\2766.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\5420.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\5803.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\5829.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\5843.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\6571.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\AmigoDistrib.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\beddjjbhca.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\iobitdownloader_installcube.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\kometa_vd.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\mailruhomesearchvbm.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\MailRuUpdater.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\mytmpinstaller.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\qweee.exe C:\Users\a64.ndubenskaya\AppData\Local\Temp\Пушкин Александр Сказка о .exe C:\Users\Администратор\AppData\Local\Temp\1572.exe C:\Users\Администратор\AppData\Local\Temp\1734.exe C:\Users\Администратор\AppData\Local\Temp\1974.exe C:\Users\Администратор\AppData\Local\Temp\2114.exe C:\Users\Администратор\AppData\Local\Temp\2960.exe C:\Users\Администратор\AppData\Local\Temp\3117.exe C:\Users\Администратор\AppData\Local\Temp\3620.exe C:\Users\Администратор\AppData\Local\Temp\4018.exe C:\Users\Администратор\AppData\Local\Temp\4488.exe C:\Users\Администратор\AppData\Local\Temp\6012.exe C:\Users\Администратор\AppData\Local\Temp\6691.exe C:\Users\Администратор\AppData\Local\Temp\6701.exe C:\Users\Администратор\AppData\Local\Temp\6708.exe C:\Users\Администратор\AppData\Local\Temp\800.exe C:\Users\Администратор\AppData\Local\Temp\8235.exe C:\Users\Администратор\AppData\Local\Temp\8800.exe C:\Users\Администратор\AppData\Local\Temp\beddjjbhca.exe C:\Users\Администратор\AppData\Local\Temp\mytmpinstaller.exe Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
shar 0 Опубликовано 18 июня, 2015 Автор Share Опубликовано 18 июня, 2015 Готово. Попробовала запустить браузер, снова непонятные окна.. Посмотрела свойства ярлыка (эксплорера), вот такая ссылка: C:\Users\a64.ndubenskaya\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 18 июня, 2015 Share Опубликовано 18 июня, 2015 Проблема только в IE? 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.