kirill_Andreich 0 Опубликовано 8 сентября, 2015 Share Опубликовано 8 сентября, 2015 Здравствуйте.Я скачал на ПК левый файл.Открыл его и рабочий стол зазаложился левыми файлами.Помогите! CollectionLog-2015.09.08-16.30.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 8 сентября, 2015 Share Опубликовано 8 сентября, 2015 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО (что сможете): > Chrome Search AnyProtect CiPlus-4.5vV06.09 CPU Miner Crossbrowse Disable Margin GamesDesktop 033.005010082 globalupdate Helper istartsurf uninstall PhraseProfessor 1.10.0.24 SmartWeb TSearch Амиго Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('e:\users\andreich\appdata\roaming\daemon.exe'); TerminateProcessByName('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe'); TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp'); TerminateProcessByName('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe'); TerminateProcessByName('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe'); TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp'); TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs'); TerminateProcessByName('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp'); TerminateProcessByName('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe'); TerminateProcessByName('E:\Windows\System32\cpm.exe'); StopService('bibohyvy'); StopService('gopibeko'); StopService('jimocoso'); StopService('totyseku'); QuarantineFile('e:\users\andreich\appdata\roaming\daemon.exe', ''); QuarantineFile('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe', ''); QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp', ''); QuarantineFile('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe', ''); QuarantineFile('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe', ''); QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp', ''); QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs', ''); QuarantineFile('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp', ''); QuarantineFile('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe', ''); QuarantineFile('E:\Users\Andreich\AppData\Local\Temp\WIZZ\ioproduct_service.bat', ''); QuarantineFile('E:\Users\Andreich\AppData\Roaming\cpuminer\sgminer\start.cmd', ''); QuarantineFile('E:\Users\Andreich\AppData\Local\Yandex\browser.bat', ''); QuarantineFile('E:\Users\Andreich\AppData\Local\kometa.bat', ''); QuarantineFile('E:\Users\Andreich\AppData\Local\Temp\Updater.exe', ''); QuarantineFile('c:\task.vbs', ''); QuarantineFile('E:\Windows\System32\cpm.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "runTask" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "updateTask" /F', 0, 15000, true); DeleteFile('e:\users\andreich\appdata\roaming\daemon.exe', '32'); DeleteFile('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe', '32'); DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp', '32'); DeleteFile('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe', '32'); DeleteFile('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe', '32'); DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp', '32'); DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs', '32'); DeleteFile('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp', '32'); DeleteFile('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe', '32'); DeleteFile('E:\Users\Andreich\AppData\Local\Temp\WIZZ\ioproduct_service.bat', '32'); DeleteFile('E:\Users\Andreich\AppData\Roaming\cpuminer\sgminer\start.cmd', '32'); DeleteFile('E:\Users\Andreich\AppData\Local\Yandex\browser.bat', '32'); DeleteFile('E:\Users\Andreich\AppData\Local\kometa.bat', '32'); DeleteFile('E:\Users\Andreich\AppData\Local\Temp\Updater.exe', '32'); DeleteFile('c:\task.vbs', '32'); DeleteFile('E:\Windows\System32\cpm.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010082'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','IOPROTECT'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010082.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer'); DeleteService('bibohyvy'); DeleteService('gopibeko'); DeleteService('jimocoso'); DeleteService('totyseku'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
kirill_Andreich 0 Опубликовано 8 сентября, 2015 Автор Share Опубликовано 8 сентября, 2015 сделал ClearLNK.zip AdwCleanerC1.txt AdwCleanerS1.txt Quarantine.log Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 8 сентября, 2015 Share Опубликовано 8 сентября, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
kirill_Andreich 0 Опубликовано 8 сентября, 2015 Автор Share Опубликовано 8 сентября, 2015 сделал Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 8 сентября, 2015 Share Опубликовано 8 сентября, 2015 (изменено) Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите А Вы прикрепили саму программу. Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните. start CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKU\S-1-5-21-1405495161-3942978343-2793348991-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms} HKU\S-1-5-21-1405495161-3942978343-2793348991-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms} URLSearchHook: [S-1-5-21-1405495161-3942978343-2793348991-1000] ATTENTION => Default URLSearchHook is missing SearchScopes: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms} SearchScopes: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms} Toolbar: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File 2015-09-08 16:49 - 2015-09-08 16:49 - 00613255 _____ (CMI Limited) E:\Users\Andreich\AppData\Local\nsc7D0F.tmp 2015-09-08 16:46 - 2015-09-08 16:46 - 00000000 ____D E:\Users\Все пользователи\FWdsManProF 2015-09-08 16:46 - 2015-09-08 16:46 - 00000000 ____D E:\ProgramData\FWdsManProF 2015-09-07 18:35 - 2015-09-07 18:36 - 00000000 ____D E:\Users\Все пользователи\QWdsManProQ 2015-09-07 18:35 - 2015-09-07 18:36 - 00000000 ____D E:\ProgramData\QWdsManProQ 2015-09-07 14:56 - 2015-09-07 14:56 - 00000000 ____D E:\Users\Все пользователи\9WdsManPro9 2015-09-07 14:56 - 2015-09-07 14:56 - 00000000 ____D E:\ProgramData\9WdsManPro9 2015-09-07 00:16 - 2015-09-07 00:17 - 00000000 ____D E:\Users\Все пользователи\6WdsManPro6 2015-09-07 00:16 - 2015-09-07 00:17 - 00000000 ____D E:\ProgramData\6WdsManPro6 2015-09-06 23:47 - 2015-09-07 18:35 - 00000144 ____H E:\iexplore.bat 2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\Users\Все пользователи\IObit 2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\ProgramData\IObit 2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\Program Files (x86)\IObit 2015-09-06 23:45 - 2015-09-06 23:45 - 00000000 ____D E:\Users\Andreich\AppData\Roaming\IObit globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION FirewallRules: [{90EE0036-520B-4F5B-8C69-846201160DEA}] => (Allow) E:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe EmptyTemp: Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. В списке программ появится globalupdate Helper Удалите. Сообщите о проблеме. Изменено 8 сентября, 2015 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
kirill_Andreich 0 Опубликовано 8 сентября, 2015 Автор Share Опубликовано 8 сентября, 2015 сделал Fixlog.txt Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 8 сентября, 2015 Share Опубликовано 8 сентября, 2015 Сообщите о проблеме ??? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.