Перейти к содержанию
Правила раздела

Словил троян

kirill_Andreich

От kirill_Andreich
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО (что сможете):

 

> Chrome Search

AnyProtect

CiPlus-4.5vV06.09

CPU Miner

Crossbrowse

Disable Margin

GamesDesktop 033.005010082

globalupdate Helper

istartsurf uninstall

PhraseProfessor 1.10.0.24

SmartWeb

TSearch

Амиго

Служба автоматического обновления программ

 

 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('e:\users\andreich\appdata\roaming\daemon.exe');
 TerminateProcessByName('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe');
 TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp');
 TerminateProcessByName('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe');
 TerminateProcessByName('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe');
 TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp');
 TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs');
 TerminateProcessByName('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp');
 TerminateProcessByName('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe');
 TerminateProcessByName('E:\Windows\System32\cpm.exe');
 StopService('bibohyvy');
 StopService('gopibeko');
 StopService('jimocoso');
 StopService('totyseku');
 QuarantineFile('e:\users\andreich\appdata\roaming\daemon.exe', '');
 QuarantineFile('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe', '');
 QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp', '');
 QuarantineFile('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe', '');
 QuarantineFile('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe', '');
 QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp', '');
 QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs', '');
 QuarantineFile('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp', '');
 QuarantineFile('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\Temp\WIZZ\ioproduct_service.bat', '');
 QuarantineFile('E:\Users\Andreich\AppData\Roaming\cpuminer\sgminer\start.cmd', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\Yandex\browser.bat', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\kometa.bat', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\Temp\Updater.exe', '');
 QuarantineFile('c:\task.vbs', '');
 QuarantineFile('E:\Windows\System32\cpm.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "runTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "updateTask" /F', 0, 15000, true);
 DeleteFile('e:\users\andreich\appdata\roaming\daemon.exe', '32');
 DeleteFile('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe', '32');
 DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp', '32');
 DeleteFile('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe', '32');
 DeleteFile('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe', '32');
 DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp', '32');
 DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs', '32');
 DeleteFile('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp', '32');
 DeleteFile('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\Temp\WIZZ\ioproduct_service.bat', '32');
 DeleteFile('E:\Users\Andreich\AppData\Roaming\cpuminer\sgminer\start.cmd', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\Yandex\browser.bat', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\kometa.bat', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\Temp\Updater.exe', '32');
 DeleteFile('c:\task.vbs', '32');
 DeleteFile('E:\Windows\System32\cpm.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010082');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','IOPROTECT');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010082.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer');
 DeleteService('bibohyvy');
 DeleteService('gopibeko');
 DeleteService('jimocoso');
 DeleteService('totyseku');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 
 
Компьютер перезагрузится
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Файл CheckBrowserLnk.log
из папки

 

...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.
 
move.gif
 
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 
 
Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
Прикрепите отчет к своему следующему сообщению.

 
Подробнее читайте в этом руководстве.
 
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите

А Вы прикрепили саму программу.

 

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
start
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1405495161-3942978343-2793348991-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
HKU\S-1-5-21-1405495161-3942978343-2793348991-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
URLSearchHook: [S-1-5-21-1405495161-3942978343-2793348991-1000] ATTENTION => Default URLSearchHook is missing
SearchScopes: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
Toolbar: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2015-09-08 16:49 - 2015-09-08 16:49 - 00613255 _____ (CMI Limited) E:\Users\Andreich\AppData\Local\nsc7D0F.tmp
2015-09-08 16:46 - 2015-09-08 16:46 - 00000000 ____D E:\Users\Все пользователи\FWdsManProF
2015-09-08 16:46 - 2015-09-08 16:46 - 00000000 ____D E:\ProgramData\FWdsManProF
2015-09-07 18:35 - 2015-09-07 18:36 - 00000000 ____D E:\Users\Все пользователи\QWdsManProQ
2015-09-07 18:35 - 2015-09-07 18:36 - 00000000 ____D E:\ProgramData\QWdsManProQ
2015-09-07 14:56 - 2015-09-07 14:56 - 00000000 ____D E:\Users\Все пользователи\9WdsManPro9
2015-09-07 14:56 - 2015-09-07 14:56 - 00000000 ____D E:\ProgramData\9WdsManPro9
2015-09-07 00:16 - 2015-09-07 00:17 - 00000000 ____D E:\Users\Все пользователи\6WdsManPro6
2015-09-07 00:16 - 2015-09-07 00:17 - 00000000 ____D E:\ProgramData\6WdsManPro6
2015-09-06 23:47 - 2015-09-07 18:35 - 00000144 ____H E:\iexplore.bat
2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\Users\Все пользователи\IObit
2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\ProgramData\IObit
2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\Program Files (x86)\IObit
2015-09-06 23:45 - 2015-09-06 23:45 - 00000000 ____D E:\Users\Andreich\AppData\Roaming\IObit
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
FirewallRules: [{90EE0036-520B-4F5B-8C69-846201160DEA}] => (Allow) E:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 
 
В списке программ появится

 

globalupdate Helper

 

Удалите.

 

Сообщите о проблеме.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      Троян что да каk
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • SDDdo
      [РЕШЕНО] Словил вирус/майнер
      От SDDdo
      Здравствуйте. 20.09.2024 был скачал microsoft office, но вместо установки, я получил вирус. Уже использовал и Malwarebytes, и kaspersky virus removal tool, и rkill, но проблема все еще присутствует. Замечаю я это по наличию то появляющегося, то исчезающего процесса в диспетчере задач под названием "autoit v3 script". Также не могу сделать скриншот диспетчера задач и редактора реестра. Редактор реестра закрывается практически сразу после открытия.
      Помимо логов прикрепляю файлы полученные с помощью Farbar Recovery Scan Tool 
      CollectionLog-2024.09.21-14.47.zip Addition.txt FRST.txt
    • Tetis
      Вирус троян updater.exe infected with Trojan.Siggen29.46190
      От Tetis
      Здравствуйте. Винда 10,  антивирус 360 Total Security, каким то образом у меня появился браузер 360 от этого китайского антивируса, примерно 10 дней назад. 14.10.24  появилась программа WPS office. Появились сами. Решил удалить WPS office, но их небыло в списках программ. Удалил с Revo Uninstaller. Перестал работать microsoft office, файлы не открывались. Я скачал 3 варианта microsoft office 2013 в интернете, все пробовал установить, получилось только с 1. Также скачивал прогру для подбора ключа, в итоге подобрал, но потом он слетел. Офис заработал. Комп стал медленее работать, постоянно на максимум вентилятор, греется, жесткий диск крутит . Включил сегодня антивирус, обнаружил вирус updater.exe infected with Trojan.Siggen29.46190, он его удаляет, а вирус постоянно снова появляется в папке C:\ProgramData\Google\Chrome\updater.exe , появляются окна что троян, нажимаю удалить... и так бескнечно, каждые 5 сек. появляется окно антивируса с трояном, я нажимаю удалить.  Dr.Web CureIt ничего не находит, скачал Eset Online Scanner и указал проверку диска С, он нашел вирусы, сейчас процесс проверки пока пишу. CollectionLog-2024.10.20-21.33.zip Что делать, подскажите пожалуйста.
       
    • vlad12332114
      Троян heur trojan multi genbadur genw
      От vlad12332114
      Троян обнаружен антивирусом, удаляется, но после перезагрузки возращается
      CollectionLog-2024.10.22-13.12.zip
×
×
  • Создать...