Перейти к содержанию
Правила раздела

Словил троян

kirill_Andreich

Автор kirill_Andreich
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

kirill_Andreich

kirill_Andreich

Опубликовано
Опубликовано

Здравствуйте.Я скачал на ПК левый файл.Открыл его и рабочий стол зазаложился левыми файлами.Помогите! 

CollectionLog-2015.09.08-16.30.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО (что сможете):

 

> Chrome Search

AnyProtect

CiPlus-4.5vV06.09

CPU Miner

Crossbrowse

Disable Margin

GamesDesktop 033.005010082

globalupdate Helper

istartsurf uninstall

PhraseProfessor 1.10.0.24

SmartWeb

TSearch

Амиго

Служба автоматического обновления программ

 

 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('e:\users\andreich\appdata\roaming\daemon.exe');
 TerminateProcessByName('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe');
 TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp');
 TerminateProcessByName('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe');
 TerminateProcessByName('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe');
 TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp');
 TerminateProcessByName('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs');
 TerminateProcessByName('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp');
 TerminateProcessByName('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe');
 TerminateProcessByName('E:\Windows\System32\cpm.exe');
 StopService('bibohyvy');
 StopService('gopibeko');
 StopService('jimocoso');
 StopService('totyseku');
 QuarantineFile('e:\users\andreich\appdata\roaming\daemon.exe', '');
 QuarantineFile('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe', '');
 QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp', '');
 QuarantineFile('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe', '');
 QuarantineFile('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe', '');
 QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp', '');
 QuarantineFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs', '');
 QuarantineFile('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp', '');
 QuarantineFile('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\Temp\WIZZ\ioproduct_service.bat', '');
 QuarantineFile('E:\Users\Andreich\AppData\Roaming\cpuminer\sgminer\start.cmd', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\Yandex\browser.bat', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\kometa.bat', '');
 QuarantineFile('E:\Users\Andreich\AppData\Local\Temp\Updater.exe', '');
 QuarantineFile('c:\task.vbs', '');
 QuarantineFile('E:\Windows\System32\cpm.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "runTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "updateTask" /F', 0, 15000, true);
 DeleteFile('e:\users\andreich\appdata\roaming\daemon.exe', '32');
 DeleteFile('e:\program files (x86)\gmsd_ru_005010082\gmsd_ru_005010082.exe', '32');
 DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\hnsoecc3.tmp', '32');
 DeleteFile('e:\users\andreich\appdata\local\temp\wizz\ioproduct.exe', '32');
 DeleteFile('e:\users\andreich\appdata\local\temp\wizz\ioprotect.exe', '32');
 DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\jnsid309.tmp', '32');
 DeleteFile('e:\program files (x86)\03de0294-1441568684-05e6-ad06-080700080009\knstb25a.tmpfs', '32');
 DeleteFile('e:\users\andreich\appdata\local\03de0294-1441583124-05e6-ad06-080700080009\snsd42fd.tmp', '32');
 DeleteFile('e:\users\andreich\appdata\local\gmsd_ru_005010082\upgmsd_ru_005010082.exe', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\Temp\WIZZ\ioproduct_service.bat', '32');
 DeleteFile('E:\Users\Andreich\AppData\Roaming\cpuminer\sgminer\start.cmd', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\Yandex\browser.bat', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\kometa.bat', '32');
 DeleteFile('E:\Users\Andreich\AppData\Local\Temp\Updater.exe', '32');
 DeleteFile('c:\task.vbs', '32');
 DeleteFile('E:\Windows\System32\cpm.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010082');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','IOPROTECT');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010082.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer');
 DeleteService('bibohyvy');
 DeleteService('gopibeko');
 DeleteService('jimocoso');
 DeleteService('totyseku');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 
 
Компьютер перезагрузится
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Файл CheckBrowserLnk.log
из папки

 

...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.
 
move.gif
 
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 
 
Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
Прикрепите отчет к своему следующему сообщению.

 
Подробнее читайте в этом руководстве.
 
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите

А Вы прикрепили саму программу.

 

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
start
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1405495161-3942978343-2793348991-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
HKU\S-1-5-21-1405495161-3942978343-2793348991-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
URLSearchHook: [S-1-5-21-1405495161-3942978343-2793348991-1000] ATTENTION => Default URLSearchHook is missing
SearchScopes: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=e25098d3f33a403918876d149ab77764&text={searchTerms}
Toolbar: HKU\S-1-5-21-1405495161-3942978343-2793348991-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2015-09-08 16:49 - 2015-09-08 16:49 - 00613255 _____ (CMI Limited) E:\Users\Andreich\AppData\Local\nsc7D0F.tmp
2015-09-08 16:46 - 2015-09-08 16:46 - 00000000 ____D E:\Users\Все пользователи\FWdsManProF
2015-09-08 16:46 - 2015-09-08 16:46 - 00000000 ____D E:\ProgramData\FWdsManProF
2015-09-07 18:35 - 2015-09-07 18:36 - 00000000 ____D E:\Users\Все пользователи\QWdsManProQ
2015-09-07 18:35 - 2015-09-07 18:36 - 00000000 ____D E:\ProgramData\QWdsManProQ
2015-09-07 14:56 - 2015-09-07 14:56 - 00000000 ____D E:\Users\Все пользователи\9WdsManPro9
2015-09-07 14:56 - 2015-09-07 14:56 - 00000000 ____D E:\ProgramData\9WdsManPro9
2015-09-07 00:16 - 2015-09-07 00:17 - 00000000 ____D E:\Users\Все пользователи\6WdsManPro6
2015-09-07 00:16 - 2015-09-07 00:17 - 00000000 ____D E:\ProgramData\6WdsManPro6
2015-09-06 23:47 - 2015-09-07 18:35 - 00000144 ____H E:\iexplore.bat
2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\Users\Все пользователи\IObit
2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\ProgramData\IObit
2015-09-06 23:45 - 2015-09-06 23:46 - 00000000 ____D E:\Program Files (x86)\IObit
2015-09-06 23:45 - 2015-09-06 23:45 - 00000000 ____D E:\Users\Andreich\AppData\Roaming\IObit
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
FirewallRules: [{90EE0036-520B-4F5B-8C69-846201160DEA}] => (Allow) E:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 
 
В списке программ появится

 

globalupdate Helper

 

Удалите.

 

Сообщите о проблеме.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Екатерина12165
      Троян не удалился
      Автор Екатерина12165
      Всем привет. У меня винда 11.
      Недавно появились такие файлы и папки с иконкой моего антивирусника, но со странными названия, внутри папок был текст на латинице. Мой антивирусник "pro 32 ultimate security" не нашел вирусов. Прогнала ноут через DR.WEB он нашел вирус, после удаления и перезарузки ноута, файлы остались. Скачала касперского, тот нашел троян, также три раза прогнала через проверку, в первый раз якобы удалился троян и вирусы, а в след. разы пыталась таким способом удалить файлы, которые остались, также 0 результата, хотя вирусы вроде бы удалились, но что меня пугает это остаточные файлы и папки, они обновляются ежедневно. 
      Ранее скачивала через проверенный торрент игрушки... Мб из-за этого словила вирусы.
      Также Ярлыки и игрушки купленные в стиме открываются раз через раз, + иногда рабочий стол не откликается, просто не кликается.
      По поводу ярлыков и приложений, через диспетчер задач снимала их, после пыталась открыть, но без результата, помогала только перезагрузка на +- 2-3 раз. 
      Помогите, пожалуйста, убрать всё таки вирусы или трояны.  



    • k.mishnev87
      Словил шифровальщик Loki Locker
      Автор k.mishnev87
      Все доброго времени суток. Для начала туп как пробка, и совсем не разбираюсь в вопросе.
      Не смотря на то что у меня стоить Касперский Премиум, я каким то чудом словил шифровальщик Loki Locker.
      В ПК у меня стояло 5 дисков + сетевой диск к которому с ПК был безконтрольный доступ. Эта зараза зашифровала абсолютно все. Мен спасло только то что был свежий бэкап важно по работе информации.
      Но как итог, отключил 4 диска, системный снес и поставил чистую винду, подключил несистемный ССД, снес полностью заново проинициализировал, создал том. 
      Восстановил.
      Осталось еще 3 HDD, два по 4ТБ и один на 2 ТБ. Вот их надо спасти и дешифровать, там слишком много полезной информации.
      Прикрепляю три зашифрованных файла и текст требование. На сайте касперского и крипто шериф искал - нету.
       
      Помогите пожалуйста.
      Loki.rar
    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • Scalpu
      Троян после перезапуска запускает powershell.exe
      Автор Scalpu
      Привет. Месяца 2 назад непонятно откуда поймал, видимо, троян. Проявлялся он так что в играх падал фпс при загрузке гпу 99% и работа видюхи не прерывалась даже при обычной работе в системе.
      В автозагрузке всё ещё присутствует некий файл WinAIHservice. По пути (C:)/ProgramData была папка WinAIHservice, но я её удалял и вроде всё в порядке было это время. Но недавно решил скачать антивирус malwarebytes и он блокировал активацию powershell.exe при каждой перезагрузке, то есть какой-то скрипт всё ещё находится у меня на пк + из автозагрузки этот WinAIHservice удалить невозможно. Прилагаю по правилам collection log + лог malwarebytes. Спасибо!
       
      Malwarebytes Отчет о заблокированных веб-сайтах 2025-08-15 213943.txt CollectionLog-2025.08.16-03.11.zip
    • Smorodina
      Словил вирус - URLLINK:MALWARE.URL - помогите избавиться
      Автор Smorodina
      сканировал drweb cureit- обнаружил - вылечить не смог.
      помогите пож-та решить проблему: комп жестко тормозит - вентиллятор охлаждения крутится постоянно
       

×
×
  • Создать...