Konstantinu 0 Опубликовано 31 августа, 2015 Share Опубликовано 31 августа, 2015 Скачал менеджер загрузки файлов с ifolder.ru и начали устанавливаться разные проги Амиго, Кроссбраузер, Game Desktop, включаю Мозиллу а там реклама во весь браузер... Проверил антивиром Commodo некоторые файлы вылечил, но некоторые проги продолжают устанавливаться... По неопытности загрузил прогу AVZ и использовал данный скрипт https://forum.kasperskyclub.ru/index.php?showtopic=45688, но ведь они индивидуальны, вроде бы ничего не испортил в системе... Помогите!!! GetSystemInfo_АДМИН-ПК_Админ_08_31_2015_18_37_52.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 305 Опубликовано 31 августа, 2015 Share Опубликовано 31 августа, 2015 Здравствуйте! Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
Konstantinu 0 Опубликовано 31 августа, 2015 Автор Share Опубликовано 31 августа, 2015 Вот!!! CollectionLog-2015.08.31-20.49.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 049 Опубликовано 31 августа, 2015 Share Опубликовано 31 августа, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\Users\7272~1\AppData\Local\Temp\WIZZ\ioproduct_service.bat',''); QuarantineFile('C:\Program Files\gmsd_ru_005010075\gmsd_ru_005010075.exe',''); StopService('WdsManPro'); StopService('totyseku'); StopService('SSFK'); StopService('jimocoso'); StopService('bywymoke'); DeleteService('WdsManPro'); DeleteService('totyseku'); DeleteService('SSFK'); DeleteService('jimocoso'); DeleteService('bywymoke'); TerminateProcessByName('c:\programdata\owdsmanproo\wdsmanpro.exe'); QuarantineFile('c:\programdata\owdsmanproo\wdsmanpro.exe',''); TerminateProcessByName('c:\program files\sfk\ssfk.exe'); QuarantineFile('c:\program files\sfk\ssfk.exe',''); TerminateProcessByName('c:\program files\sfk\sfkex.exe'); QuarantineFile('c:\program files\sfk\sfkex.exe',''); TerminateProcessByName('c:\program files\03000200-1441009653-0500-0006-000700080009\knss10fd.tmpfs'); QuarantineFile('c:\program files\03000200-1441009653-0500-0006-000700080009\knss10fd.tmpfs',''); TerminateProcessByName('c:\program files\03000200-1441009653-0500-0006-000700080009\jnss2edf.tmp'); QuarantineFile('c:\program files\03000200-1441009653-0500-0006-000700080009\jnss2edf.tmp',''); TerminateProcessByName('c:\users\7272~1\appdata\local\temp\wizz\ioprotect.exe'); QuarantineFile('c:\users\7272~1\appdata\local\temp\wizz\ioprotect.exe',''); TerminateProcessByName('c:\users\7272~1\appdata\local\temp\wizz\ioproduct.exe'); QuarantineFile('c:\users\7272~1\appdata\local\temp\wizz\ioproduct.exe',''); TerminateProcessByName('c:\program files\03000200-1441009653-0500-0006-000700080009\hnss49b1.tmp'); QuarantineFile('c:\program files\03000200-1441009653-0500-0006-000700080009\hnss49b1.tmp',''); TerminateProcessByName('c:\program files\ciplus-4.5vv31.08\b190f80e-59c7-4f18-8785-7f688043fdcb-1-6.exe'); QuarantineFile('c:\program files\ciplus-4.5vv31.08\b190f80e-59c7-4f18-8785-7f688043fdcb-1-6.exe',''); DeleteFile('c:\program files\ciplus-4.5vv31.08\b190f80e-59c7-4f18-8785-7f688043fdcb-1-6.exe','32'); DeleteFile('c:\program files\03000200-1441009653-0500-0006-000700080009\hnss49b1.tmp','32'); DeleteFile('c:\users\7272~1\appdata\local\temp\wizz\ioproduct.exe','32'); DeleteFile('c:\users\7272~1\appdata\local\temp\wizz\ioprotect.exe','32'); DeleteFile('c:\program files\03000200-1441009653-0500-0006-000700080009\jnss2edf.tmp','32'); DeleteFile('c:\program files\03000200-1441009653-0500-0006-000700080009\knss10fd.tmpfs','32'); DeleteFile('c:\program files\sfk\sfkex.exe','32'); DeleteFile('c:\program files\sfk\ssfk.exe','32'); DeleteFile('c:\programdata\owdsmanproo\wdsmanpro.exe','32'); DeleteFile('C:\Program Files\03000200-1441009653-0500-0006-000700080009\knss10FD.tmpfs','32'); DeleteFile('C:\Program Files\03000200-1441009653-0500-0006-000700080009\jnss2EDF.tmp','32'); DeleteFile('C:\Program Files\SFK\SSFK.exe','32'); DeleteFile('C:\Program Files\03000200-1441009653-0500-0006-000700080009\hnss49B1.tmp','32'); DeleteFile('C:\ProgramData\OWdsManProO\WdsManPro.exe','32'); DeleteFile('C:\Program Files\Comodo\GeekBuddy\launcher.bat','32'); DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat','32'); DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32'); DeleteFile('C:\Program Files\gmsd_ru_005010075\gmsd_ru_005010075.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010075'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro'); DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_0113982334E31974129CA258EE269D0C'); DeleteFile('C:\Users\7272~1\AppData\Local\Temp\WIZZ\ioproduct_service.bat','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','IOPROTECT'); DeleteFile('C:\Users\Админ\AppData\Local\Kometa\Application\kometa.bat','32'); DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-1-6.job','32'); DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-1-7.job','32'); DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-10_user.job','32'); DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-11.job','32'); DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-4.job','32'); DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-5.job','32'); DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-5_user.job','32'); DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-1-6.job','32'); DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-1-7.job','32'); DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-10_user.job','32'); DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-11.job','32'); DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-4.job','32'); DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-5.job','32'); DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-5_user.job','32'); DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32'); DeleteFile('C:\Windows\Tasks\Dealply.job','32'); DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job','32'); DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job','32'); DeleteFile('C:\Windows\system32\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-1-6','32'); DeleteFile('C:\Windows\system32\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-1-7','32'); DeleteFile('C:\Windows\system32\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-5','32'); DeleteFile('C:\Windows\system32\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-1-6','32'); DeleteFile('C:\Windows\system32\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-1-7','32'); DeleteFile('C:\Windows\system32\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-5','32'); DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','32'); DeleteFile('C:\Windows\system32\Tasks\Dealply','32'); DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineCore','32'); DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineUA','32'); ExecuteWizard('TSW',2,3,true); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Konstantinu 0 Опубликовано 2 сентября, 2015 Автор Share Опубликовано 2 сентября, 2015 Все сделал как и говорили! Запрос на исследование вредоносного файла [KLAN-3101694084] Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.ioproduct_service.bat,wdsmanpro.exe,ssfk.exe,knss10fd.tmpfs,ioprotect.exe,ioproduct.exe,hnss49b1.tmpПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.gmsd_ru_005010075.exe - not-a-virus:AdWare.Win32. Eorezo.afobsfkex.exe - not-a-virus:AdWare.Win32.ELEX.bqЭто файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdatesjnss2edf.tmpВредоносный код в файле не обнаружен.b190f80e-59c7-4f18-8785-7f688043fdcb-1-6.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqaЭто - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" ClearLNK-02.09.2015_18-09.log CollectionLog-2015.09.02-18.59.zip AdwCleanerS1.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 049 Опубликовано 2 сентября, 2015 Share Опубликовано 2 сентября, 2015 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Ссылка на сообщение Поделиться на другие сайты
Konstantinu 0 Опубликовано 2 сентября, 2015 Автор Share Опубликовано 2 сентября, 2015 Сделал! AdwCleanerC1.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 049 Опубликовано 2 сентября, 2015 Share Опубликовано 2 сентября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Konstantinu 0 Опубликовано 6 сентября, 2015 Автор Share Опубликовано 6 сентября, 2015 Сделал!!! Addition.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 049 Опубликовано 6 сентября, 2015 Share Опубликовано 6 сентября, 2015 Второй лог видимо не нужен. Ссылка на сообщение Поделиться на другие сайты
Konstantinu 0 Опубликовано 6 сентября, 2015 Автор Share Опубликовано 6 сентября, 2015 Прошу прощения, забыл!!! FRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 049 Опубликовано 6 сентября, 2015 Share Опубликовано 6 сентября, 2015 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Админ\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found> StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe http://www.mystartsearch.com/?type=sc&ts=1441024821&z=5470e3ec8a6bf6ea9da74dbg0z8z5gbebo1zbq5t0z&from=cmi&uid=WDCXWD5000AAKB-00H8A0_WD-WCASY351631216312 2015-08-31 18:41 - 2015-09-02 17:20 - 00000000 ____D C:\Users\Все пользователи\OWdsManProO 2015-08-31 18:41 - 2015-09-02 17:20 - 00000000 ____D C:\ProgramData\OWdsManProO 2015-08-31 18:41 - 2015-08-31 18:42 - 00000000 ____D C:\Users\Админ\AppData\Local\gmsd_ru_005010075 2015-08-31 16:35 - 2015-08-31 16:35 - 00000000 ____D C:\Users\Все пользователи\cWdsManProc 2015-08-31 16:35 - 2015-08-31 16:35 - 00000000 ____D C:\ProgramData\cWdsManProc 2015-08-31 15:26 - 2015-08-31 18:41 - 00000000 ____D C:\Program Files\gmsd_ru_005010075 2015-08-31 15:23 - 2015-08-31 18:40 - 00000434 _____ C:\task.vbs 2015-08-31 15:22 - 2015-08-31 18:41 - 00000102 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2015-08-31 15:22 - 2015-08-31 18:41 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2015-08-31 15:22 - 2015-08-31 15:23 - 00000000 ____D C:\Users\Все пользователи\yWdsManProy 2015-08-31 15:22 - 2015-08-31 15:23 - 00000000 ____D C:\ProgramData\yWdsManProy 2015-08-31 14:43 - 2015-08-31 14:43 - 00000000 ____D C:\Users\Все пользователи\DesktopIcons 2015-08-31 14:43 - 2015-08-31 14:43 - 00000000 ____D C:\ProgramData\DesktopIcons 2015-08-31 14:31 - 2015-08-31 17:44 - 00001086 __RSH C:\Users\Все пользователи\ntuser.pol 2015-08-31 14:31 - 2015-08-31 17:44 - 00001086 __RSH C:\ProgramData\ntuser.pol 2015-08-31 14:31 - 2015-08-31 16:35 - 00000008 __RSH C:\Users\Админ\ntuser.pol 2015-08-31 14:31 - 2015-08-31 14:31 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} 2015-08-31 14:31 - 2015-08-31 14:31 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} 2015-08-31 14:29 - 2015-08-31 14:29 - 00000000 ____D C:\Users\Админ\AppData\Roaming\MailProducts 2015-08-31 14:28 - 2012-12-05 18:59 - 00000855 _____ C:\Windows\system32\Drivers\etc\hp.bak 2015-08-31 14:27 - 2015-09-02 17:20 - 00000000 ____D C:\Program Files\03000200-1441009653-0500-0006-000700080009 2015-08-31 14:25 - 2015-08-31 15:15 - 00000000 ____D C:\Users\Админ\AppData\Roaming\Torrentex 2015-08-31 14:25 - 2015-08-31 14:25 - 00000000 ____D C:\Users\Админ\Downloads\Torrentex Task: {37BA8E23-6FA6-429F-8FD3-5134116D3E26} - \b190f80e-59c7-4f18-8785-7f688043fdcb-1-7 -> No File <==== ATTENTION Task: {38611CA4-D2B5-4E6C-81ED-AD3CC4F3B7FA} - \aa08efb1-564a-4927-bf3b-f81bb4a88483-1-7 -> No File <==== ATTENTION Task: {7E03388A-71F3-40DA-A039-C7024F325368} - \b190f80e-59c7-4f18-8785-7f688043fdcb-5 -> No File <==== ATTENTION Task: {907D3406-BEAD-447F-9711-82C0AA74B1B9} - \aa08efb1-564a-4927-bf3b-f81bb4a88483-5 -> No File <==== ATTENTION Task: {A676E3CD-DEC2-4E5B-A252-10C1E1738A43} - \b190f80e-59c7-4f18-8785-7f688043fdcb-1-6 -> No File <==== ATTENTION Task: {B0D710EE-1EAD-4592-A971-89BAE0E1E209} - \aa08efb1-564a-4927-bf3b-f81bb4a88483-1-6 -> No File <==== ATTENTION Task: {FF1C075A-26E1-4218-94B1-3EE882C820FB} - \Soft installer -> No File <==== ATTENTION AlternateDataStreams: C:\task.vbs:$CmdTcID FirewallRules: [{B10AE716-8A40-49AC-AEA7-4C5301A2FDAE}] => (Allow) C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe EmptyTemp: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на сообщение Поделиться на другие сайты
Konstantinu 0 Опубликовано 6 сентября, 2015 Автор Share Опубликовано 6 сентября, 2015 Сделал! Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 049 Опубликовано 6 сентября, 2015 Share Опубликовано 6 сентября, 2015 Что с проблемой? Ссылка на сообщение Поделиться на другие сайты
Konstantinu 0 Опубликовано 7 сентября, 2015 Автор Share Опубликовано 7 сентября, 2015 Все вроде бы в норме, буду наблюдать еще конечно, а Вам большое спасибо за оперативную помощь!!! Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти