Словил троян

[kirill_Andreich]

Здравствуйте.Я скачал на ПК левый файл.Открыл его и рабочий стол зазаложился левыми файлами.Помогите! 

CollectionLog-2015.09.08-16.30.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО (что сможете):

 

> Chrome Search

AnyProtect

CiPlus-4.5vV06.09

CPU Miner

Crossbrowse

Disable Margin

GamesDesktop 033.005010082

globalupdate Helper

istartsurf uninstall

PhraseProfessor 1.10.0.24

SmartWeb

TSearch

Амиго

Служба автоматического обновления программ

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('e:\users\andreich\appdata\roaming\daemon.exe');
 TerminateProcessByName('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe');
 TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp');
 TerminateProcessByName('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe');
 TerminateProcessByName('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe');
 TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp');
 TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs');
 TerminateProcessByName('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp');
 TerminateProcessByName('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe');
 TerminateProcessByName('E:\Windows\System32\cpm.exe');
 StopService('bibohyvy');
 StopService('gopibeko');
 StopService('jimocoso');
 StopService('totyseku');
 QuarantineFile('e:\users\andreich\appdata\roaming\daemon.exe', '');
 QuarantineFile('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe', '');
 QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp', '');
 QuarantineFile('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe', '');
 QuarantineFile('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe', '');
 QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp', '');
 QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs', '');
 QuarantineFile('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp', '');
 QuarantineFile('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\Temp\WIZZ\ioproduct_service.bat', '');
 QuarantineFile('E:\Users\Andreich\AppData\Roaming\cpuminer\sgminer\start.cmd', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\Yandex\browser.bat', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\kometa.bat', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\Temp\Updater.exe', '');
 QuarantineFile('c:\task.vbs', '');
 QuarantineFile('E:\Windows\System32\cpm.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "runTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "updateTask" /F', 0, 15000, true);
 DeleteFile('e:\users\andreich\appdata\roaming\daemon.exe', '32');
 DeleteFile('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe', '32');
 DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp', '32');
 DeleteFile('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe', '32');
 DeleteFile('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe', '32');
 DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp', '32');
 DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs', '32');
 DeleteFile('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp', '32');
 DeleteFile('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\Temp\WIZZ\ioproduct_service.bat', '32');
 DeleteFile('E:\Users\Andreich\AppData\Roaming\cpuminer\sgminer\start.cmd', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\Yandex\browser.bat', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\kometa.bat', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\Temp\Updater.exe', '32');
 DeleteFile('c:\task.vbs', '32');
 DeleteFile('E:\Windows\System32\cpm.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010082');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','IOPROTECT');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010082.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer');
 DeleteService('bibohyvy');
 DeleteService('gopibeko');
 DeleteService('jimocoso');
 DeleteService('totyseku');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 

 

Компьютер перезагрузится. 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

 

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[kirill_Andreich]

сделал

ClearLNK.zip

AdwCleanerC1.txt

AdwCleanerS1.txt

Quarantine.log

[Sandor]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[kirill_Andreich]

сделал

Addition.txt

FRST.txt

[Sandor]

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите

А Вы прикрепили саму программу.

 

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

start
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1405495161-3942978343-2793348991-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
HKU\S-1-5-21-1405495161-3942978343-2793348991-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
URLSearchHook: [S-1-5-21-1405495161-3942978343-2793348991-1000] ATTENTION => Default URLSearchHook is missing
SearchScopes: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
Toolbar: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2015-09-08 16:49 - 2015-09-08 16:49 - 00613255 _____ (CMI Limited) E:\Users\Andreich\AppData\Local\nsc7D0F.tmp
2015-09-08 16:46 - 2015-09-08 16:46 - 00000000 ____D E:\Users\Все пользователи\FWdsManProF
2015-09-08 16:46 - 2015-09-08 16:46 - 00000000 ____D E:\ProgramData\FWdsManProF
2015-09-07 18:35 - 2015-09-07 18:36 - 00000000 ____D E:\Users\Все пользователи\QWdsManProQ
2015-09-07 18:35 - 2015-09-07 18:36 - 00000000 ____D E:\ProgramData\QWdsManProQ
2015-09-07 14:56 - 2015-09-07 14:56 - 00000000 ____D E:\Users\Все пользователи\9WdsManPro9
2015-09-07 14:56 - 2015-09-07 14:56 - 00000000 ____D E:\ProgramData\9WdsManPro9
2015-09-07 00:16 - 2015-09-07 00:17 - 00000000 ____D E:\Users\Все пользователи\6WdsManPro6
2015-09-07 00:16 - 2015-09-07 00:17 - 00000000 ____D E:\ProgramData\6WdsManPro6
2015-09-06 23:47 - 2015-09-07 18:35 - 00000144 ____H E:\iexplore.bat
2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\Users\Все пользователи\IObit
2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\ProgramData\IObit
2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\Program Files (x86)\IObit
2015-09-06 23:45 - 2015-09-06 23:45 - 00000000 ____D E:\Users\Andreich\AppData\Roaming\IObit
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
FirewallRules: [{90EE0036-520B-4F5B-8C69-846201160DEA}] => (Allow) E:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

В списке программ появится

 

globalupdate Helper

 

Удалите.

 

Сообщите о проблеме.

Изменено 8 сентября, 2015 пользователем Sandor

[kirill_Andreich]

сделал

Fixlog.txt

Fixlog.txt

[Sandor]

 

 

Сообщите о проблеме

???