Скачал программу и подхватил вирусы...

[Konstantinu]

Скачал менеджер загрузки файлов с ifolder.ru и начали устанавливаться разные проги Амиго, Кроссбраузер, Game Desktop, включаю Мозиллу а там реклама во весь браузер...

Проверил антивиром Commodo некоторые файлы вылечил, но некоторые проги продолжают устанавливаться...

По неопытности загрузил прогу AVZ и использовал данный скрипт https://forum.kasperskyclub.ru/index.php?showtopic=45688, но ведь они индивидуальны, вроде бы ничего не испортил в системе...

Помогите!!!

GetSystemInfo_АДМИН-ПК_Админ_08_31_2015_18_37_52.zip

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[Konstantinu]

Вот!!!

CollectionLog-2015.08.31-20.49.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\7272~1\AppData\Local\Temp\WIZZ\ioproduct_service.bat','');
 QuarantineFile('C:\Program Files\gmsd_ru_005010075\gmsd_ru_005010075.exe','');
 StopService('WdsManPro');
 StopService('totyseku');
 StopService('SSFK');
 StopService('jimocoso');
 StopService('bywymoke');
 DeleteService('WdsManPro');
 DeleteService('totyseku');
 DeleteService('SSFK');
 DeleteService('jimocoso');
 DeleteService('bywymoke');
 TerminateProcessByName('c:\programdata\owdsmanproo\wdsmanpro.exe');
 QuarantineFile('c:\programdata\owdsmanproo\wdsmanpro.exe','');
 TerminateProcessByName('c:\program files\sfk\ssfk.exe');
 QuarantineFile('c:\program files\sfk\ssfk.exe','');
 TerminateProcessByName('c:\program files\sfk\sfkex.exe');
 QuarantineFile('c:\program files\sfk\sfkex.exe','');
 TerminateProcessByName('c:\program files\03000200-1441009653-0500-0006-000700080009\knss10fd.tmpfs');
 QuarantineFile('c:\program files\03000200-1441009653-0500-0006-000700080009\knss10fd.tmpfs','');
 TerminateProcessByName('c:\program files\03000200-1441009653-0500-0006-000700080009\jnss2edf.tmp');
 QuarantineFile('c:\program files\03000200-1441009653-0500-0006-000700080009\jnss2edf.tmp','');
 TerminateProcessByName('c:\users\7272~1\appdata\local\temp\wizz\ioprotect.exe');
 QuarantineFile('c:\users\7272~1\appdata\local\temp\wizz\ioprotect.exe','');
 TerminateProcessByName('c:\users\7272~1\appdata\local\temp\wizz\ioproduct.exe');
 QuarantineFile('c:\users\7272~1\appdata\local\temp\wizz\ioproduct.exe','');
 TerminateProcessByName('c:\program files\03000200-1441009653-0500-0006-000700080009\hnss49b1.tmp');
 QuarantineFile('c:\program files\03000200-1441009653-0500-0006-000700080009\hnss49b1.tmp','');
 TerminateProcessByName('c:\program files\ciplus-4.5vv31.08\b190f80e-59c7-4f18-8785-7f688043fdcb-1-6.exe');
 QuarantineFile('c:\program files\ciplus-4.5vv31.08\b190f80e-59c7-4f18-8785-7f688043fdcb-1-6.exe','');
 DeleteFile('c:\program files\ciplus-4.5vv31.08\b190f80e-59c7-4f18-8785-7f688043fdcb-1-6.exe','32');
 DeleteFile('c:\program files\03000200-1441009653-0500-0006-000700080009\hnss49b1.tmp','32');
 DeleteFile('c:\users\7272~1\appdata\local\temp\wizz\ioproduct.exe','32');
 DeleteFile('c:\users\7272~1\appdata\local\temp\wizz\ioprotect.exe','32');
 DeleteFile('c:\program files\03000200-1441009653-0500-0006-000700080009\jnss2edf.tmp','32');
 DeleteFile('c:\program files\03000200-1441009653-0500-0006-000700080009\knss10fd.tmpfs','32');
 DeleteFile('c:\program files\sfk\sfkex.exe','32');
 DeleteFile('c:\program files\sfk\ssfk.exe','32');
 DeleteFile('c:\programdata\owdsmanproo\wdsmanpro.exe','32');
 DeleteFile('C:\Program Files\03000200-1441009653-0500-0006-000700080009\knss10FD.tmpfs','32');
 DeleteFile('C:\Program Files\03000200-1441009653-0500-0006-000700080009\jnss2EDF.tmp','32');
 DeleteFile('C:\Program Files\SFK\SSFK.exe','32');
 DeleteFile('C:\Program Files\03000200-1441009653-0500-0006-000700080009\hnss49B1.tmp','32');
 DeleteFile('C:\ProgramData\OWdsManProO\WdsManPro.exe','32');
 DeleteFile('C:\Program Files\Comodo\GeekBuddy\launcher.bat','32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat','32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32');
 DeleteFile('C:\Program Files\gmsd_ru_005010075\gmsd_ru_005010075.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010075');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_0113982334E31974129CA258EE269D0C');
 DeleteFile('C:\Users\7272~1\AppData\Local\Temp\WIZZ\ioproduct_service.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','IOPROTECT');
 DeleteFile('C:\Users\Админ\AppData\Local\Kometa\Application\kometa.bat','32');
 DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-11.job','32');
 DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-4.job','32');
 DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-5.job','32');
 DeleteFile('C:\Windows\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-11.job','32');
 DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-4.job','32');
 DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-5.job','32');
 DeleteFile('C:\Windows\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32');
 DeleteFile('C:\Windows\Tasks\Dealply.job','32');
 DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Windows\system32\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-1-6','32');
 DeleteFile('C:\Windows\system32\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-1-7','32');
 DeleteFile('C:\Windows\system32\Tasks\aa08efb1-564a-4927-bf3b-f81bb4a88483-5','32');
 DeleteFile('C:\Windows\system32\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-1-6','32');
 DeleteFile('C:\Windows\system32\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-1-7','32');
 DeleteFile('C:\Windows\system32\Tasks\b190f80e-59c7-4f18-8785-7f688043fdcb-5','32');
 DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','32');
 DeleteFile('C:\Windows\system32\Tasks\Dealply','32');
 DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineCore','32');
 DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineUA','32');
ExecuteWizard('TSW',2,3,true);
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Konstantinu]

Все сделал как и говорили!

 

Запрос на исследование вредоносного файла [KLAN-3101694084]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

ioproduct_service.bat,
wdsmanpro.exe,
ssfk.exe,
knss10fd.tmpfs,
ioprotect.exe,
ioproduct.exe,
hnss49b1.tmp

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

gmsd_ru_005010075.exe - not-a-virus:AdWare.Win32.

Eorezo.afob
sfkex.exe - not-a-virus:AdWare.Win32.ELEX.bq

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

jnss2edf.tmp

Вредоносный код в файле не обнаружен.

b190f80e-59c7-4f18-8785-7f688043fdcb-1-6.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

ClearLNK-02.09.2015_18-09.log

CollectionLog-2015.09.02-18.59.zip

AdwCleanerS1.txt

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Konstantinu]

Сделал!

AdwCleanerC1.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Konstantinu]

Сделал!!!

Addition.txt

[mike 1]

Второй лог видимо не нужен.

[Konstantinu]

Прошу прощения, забыл!!!

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Админ\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe http://www.mystartsearch.com/?type=sc&ts=1441024821&z=5470e3ec8a6bf6ea9da74dbg0z8z5gbebo1zbq5t0z&from=cmi&uid=WDCXWD5000AAKB-00H8A0_WD-WCASY351631216312
2015-08-31 18:41 - 2015-09-02 17:20 - 00000000 ____D C:\Users\Все пользователи\OWdsManProO
2015-08-31 18:41 - 2015-09-02 17:20 - 00000000 ____D C:\ProgramData\OWdsManProO
2015-08-31 18:41 - 2015-08-31 18:42 - 00000000 ____D C:\Users\Админ\AppData\Local\gmsd_ru_005010075
2015-08-31 16:35 - 2015-08-31 16:35 - 00000000 ____D C:\Users\Все пользователи\cWdsManProc
2015-08-31 16:35 - 2015-08-31 16:35 - 00000000 ____D C:\ProgramData\cWdsManProc
2015-08-31 15:26 - 2015-08-31 18:41 - 00000000 ____D C:\Program Files\gmsd_ru_005010075
2015-08-31 15:23 - 2015-08-31 18:40 - 00000434 _____ C:\task.vbs
2015-08-31 15:22 - 2015-08-31 18:41 - 00000102 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-08-31 15:22 - 2015-08-31 18:41 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-08-31 15:22 - 2015-08-31 15:23 - 00000000 ____D C:\Users\Все пользователи\yWdsManProy
2015-08-31 15:22 - 2015-08-31 15:23 - 00000000 ____D C:\ProgramData\yWdsManProy
2015-08-31 14:43 - 2015-08-31 14:43 - 00000000 ____D C:\Users\Все пользователи\DesktopIcons
2015-08-31 14:43 - 2015-08-31 14:43 - 00000000 ____D C:\ProgramData\DesktopIcons
2015-08-31 14:31 - 2015-08-31 17:44 - 00001086 __RSH C:\Users\Все пользователи\ntuser.pol
2015-08-31 14:31 - 2015-08-31 17:44 - 00001086 __RSH C:\ProgramData\ntuser.pol
2015-08-31 14:31 - 2015-08-31 16:35 - 00000008 __RSH C:\Users\Админ\ntuser.pol
2015-08-31 14:31 - 2015-08-31 14:31 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-08-31 14:31 - 2015-08-31 14:31 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-08-31 14:29 - 2015-08-31 14:29 - 00000000 ____D C:\Users\Админ\AppData\Roaming\MailProducts
2015-08-31 14:28 - 2012-12-05 18:59 - 00000855 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-08-31 14:27 - 2015-09-02 17:20 - 00000000 ____D C:\Program Files\03000200-1441009653-0500-0006-000700080009
2015-08-31 14:25 - 2015-08-31 15:15 - 00000000 ____D C:\Users\Админ\AppData\Roaming\Torrentex
2015-08-31 14:25 - 2015-08-31 14:25 - 00000000 ____D C:\Users\Админ\Downloads\Torrentex
Task: {37BA8E23-6FA6-429F-8FD3-5134116D3E26} - \b190f80e-59c7-4f18-8785-7f688043fdcb-1-7 -> No File <==== ATTENTION
Task: {38611CA4-D2B5-4E6C-81ED-AD3CC4F3B7FA} - \aa08efb1-564a-4927-bf3b-f81bb4a88483-1-7 -> No File <==== ATTENTION
Task: {7E03388A-71F3-40DA-A039-C7024F325368} - \b190f80e-59c7-4f18-8785-7f688043fdcb-5 -> No File <==== ATTENTION
Task: {907D3406-BEAD-447F-9711-82C0AA74B1B9} - \aa08efb1-564a-4927-bf3b-f81bb4a88483-5 -> No File <==== ATTENTION
Task: {A676E3CD-DEC2-4E5B-A252-10C1E1738A43} - \b190f80e-59c7-4f18-8785-7f688043fdcb-1-6 -> No File <==== ATTENTION
Task: {B0D710EE-1EAD-4592-A971-89BAE0E1E209} - \aa08efb1-564a-4927-bf3b-f81bb4a88483-1-6 -> No File <==== ATTENTION
Task: {FF1C075A-26E1-4218-94B1-3EE882C820FB} - \Soft installer -> No File <==== ATTENTION
AlternateDataStreams: C:\task.vbs:$CmdTcID
FirewallRules: [{B10AE716-8A40-49AC-AEA7-4C5301A2FDAE}] => (Allow) C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[Konstantinu]

Сделал!

Fixlog.txt

[mike 1]

Что с проблемой?

[Konstantinu]

Все вроде бы в норме, буду наблюдать еще конечно, а Вам большое спасибо за оперативную помощь!!!