Перейти к содержанию
Правила раздела
Задай вопрос Леониду Безвершенко!

Словил троян

kirill_Andreich

От kirill_Andreich
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО (что сможете):

 

> Chrome Search

AnyProtect

CiPlus-4.5vV06.09

CPU Miner

Crossbrowse

Disable Margin

GamesDesktop 033.005010082

globalupdate Helper

istartsurf uninstall

PhraseProfessor 1.10.0.24

SmartWeb

TSearch

Амиго

Служба автоматического обновления программ

 

 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('e:\users\andreich\appdata\roaming\daemon.exe');
 TerminateProcessByName('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe');
 TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp');
 TerminateProcessByName('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe');
 TerminateProcessByName('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe');
 TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp');
 TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs');
 TerminateProcessByName('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp');
 TerminateProcessByName('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe');
 TerminateProcessByName('E:\Windows\System32\cpm.exe');
 StopService('bibohyvy');
 StopService('gopibeko');
 StopService('jimocoso');
 StopService('totyseku');
 QuarantineFile('e:\users\andreich\appdata\roaming\daemon.exe', '');
 QuarantineFile('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe', '');
 QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp', '');
 QuarantineFile('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe', '');
 QuarantineFile('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe', '');
 QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp', '');
 QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs', '');
 QuarantineFile('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp', '');
 QuarantineFile('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\Temp\WIZZ\ioproduct_service.bat', '');
 QuarantineFile('E:\Users\Andreich\AppData\Roaming\cpuminer\sgminer\start.cmd', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\Yandex\browser.bat', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\kometa.bat', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\Temp\Updater.exe', '');
 QuarantineFile('c:\task.vbs', '');
 QuarantineFile('E:\Windows\System32\cpm.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "runTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "updateTask" /F', 0, 15000, true);
 DeleteFile('e:\users\andreich\appdata\roaming\daemon.exe', '32');
 DeleteFile('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe', '32');
 DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp', '32');
 DeleteFile('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe', '32');
 DeleteFile('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe', '32');
 DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp', '32');
 DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs', '32');
 DeleteFile('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp', '32');
 DeleteFile('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\Temp\WIZZ\ioproduct_service.bat', '32');
 DeleteFile('E:\Users\Andreich\AppData\Roaming\cpuminer\sgminer\start.cmd', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\Yandex\browser.bat', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\kometa.bat', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\Temp\Updater.exe', '32');
 DeleteFile('c:\task.vbs', '32');
 DeleteFile('E:\Windows\System32\cpm.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010082');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','IOPROTECT');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010082.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer');
 DeleteService('bibohyvy');
 DeleteService('gopibeko');
 DeleteService('jimocoso');
 DeleteService('totyseku');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 
 
Компьютер перезагрузится
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Файл CheckBrowserLnk.log
из папки

 

...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.
 
move.gif
 
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 
 
Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
Прикрепите отчет к своему следующему сообщению.

 
Подробнее читайте в этом руководстве.
 
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите

А Вы прикрепили саму программу.

 

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
start
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1405495161-3942978343-2793348991-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
HKU\S-1-5-21-1405495161-3942978343-2793348991-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
URLSearchHook: [S-1-5-21-1405495161-3942978343-2793348991-1000] ATTENTION => Default URLSearchHook is missing
SearchScopes: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
Toolbar: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2015-09-08 16:49 - 2015-09-08 16:49 - 00613255 _____ (CMI Limited) E:\Users\Andreich\AppData\Local\nsc7D0F.tmp
2015-09-08 16:46 - 2015-09-08 16:46 - 00000000 ____D E:\Users\Все пользователи\FWdsManProF
2015-09-08 16:46 - 2015-09-08 16:46 - 00000000 ____D E:\ProgramData\FWdsManProF
2015-09-07 18:35 - 2015-09-07 18:36 - 00000000 ____D E:\Users\Все пользователи\QWdsManProQ
2015-09-07 18:35 - 2015-09-07 18:36 - 00000000 ____D E:\ProgramData\QWdsManProQ
2015-09-07 14:56 - 2015-09-07 14:56 - 00000000 ____D E:\Users\Все пользователи\9WdsManPro9
2015-09-07 14:56 - 2015-09-07 14:56 - 00000000 ____D E:\ProgramData\9WdsManPro9
2015-09-07 00:16 - 2015-09-07 00:17 - 00000000 ____D E:\Users\Все пользователи\6WdsManPro6
2015-09-07 00:16 - 2015-09-07 00:17 - 00000000 ____D E:\ProgramData\6WdsManPro6
2015-09-06 23:47 - 2015-09-07 18:35 - 00000144 ____H E:\iexplore.bat
2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\Users\Все пользователи\IObit
2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\ProgramData\IObit
2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\Program Files (x86)\IObit
2015-09-06 23:45 - 2015-09-06 23:45 - 00000000 ____D E:\Users\Andreich\AppData\Roaming\IObit
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
FirewallRules: [{90EE0036-520B-4F5B-8C69-846201160DEA}] => (Allow) E:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 
 
В списке программ появится

 

globalupdate Helper

 

Удалите.

 

Сообщите о проблеме.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Dexter Morgan
      Хотел скачать zapret для обхода блокировок, но словил троян
      От Dexter Morgan
      Вообщем после того как я поймал троян я сделал проверку с помощью drweb cureit,но он ничего не обнаружил,позже скачал Касперский т.к дефендер забегался и не мог удалить файл,потому что этого файла уже не было.Позже я перезагрузил ПК и у меня вылетело со всех аккаунтов.В частности с акков Стима и гмаила,эпик геймс не вылетел.Боюсь,что троян может украсть данные,что делать?Я всегда проверяю файлы которые скачиваю,но в этом раз забыл это сделать
       
      Сообщение от модератора Mark D. Pearlstone Теме перемещена из раздела "Компьютерная помощь".
    • Maksum
      [РЕШЕНО] Трояны
      От Maksum
      Скачал вирус в папку temp и %temp%
      Через несколько дней появилось несколько троянов.
      Во время игры, игра свернулась и вышло окно от некого хакера и было написано напиши мне я быстро перезагрузил пк, вошёл в безопасный режим  и начал чистить его с помощью Dr web как очистил трояны ноутбук начал лагать но без троянов чуть позже перепроверил им же оказалось опять появились те же трояны. Теперь даже боюсь лишний раз ноут включать(
      Скиньте пожалуйста скрипт для avz.
      Мой виндовс: 10 домашняя версия для 1 языка 64 бит
      Вот файл с троянами:
      Fitnes.rar
    • SuPeR_1
      Подозрение на майнер
      От SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
    • Taboo
      [РЕШЕНО] Словил какой то майнер
      От Taboo
      Доброго дня.
       
      Последнее время ноут работал на износ, решил проверить на вирусы и выявил какой-то вирус майнер ( не шибко силен в этом). Почитал в инете, какая то злостная штука. Скачать антивирус не дает, на часть сайтов зайти не дает, диспетчер задач, как и ряд системных функций включить не дает.
      с помощью телефона и облачного хранилища ужалось поставить DrWeb Curelt, выявил пачку троянов и других вирусов, вылечил вроде как, но с перезапуском системы они вновь расплодились.
      Подскажите плз решение проблемы.
    • Maxim222503F
      Словил майнер
      От Maxim222503F
      Майнер обнаружил с помощью Dr.Web CureIt
      Вероятно майнер был установлен вместе с утилитой для установки драйверов
      CollectionLog-2025.01.28-20.59.zip
×
×
  • Создать...