Перейти к содержанию
Правила раздела
Задай вопрос Леониду Безвершенко!

Вирус

Gluki

От Gluki
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!
 
Через Панель управления - Удаление программ - удалите нежелательное ПО:

yoursearching uninstall

 
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\hnssffc5.tmp');
 TerminateProcessByName('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\jnsye805.tmp');
 TerminateProcessByName('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\knsgdb91.tmp');
 StopService('fujugize');
 StopService('symytupi');
 StopService('zycygufo');
 QuarantineFile('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\hnssffc5.tmp', '');
 QuarantineFile('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\jnsye805.tmp', '');
 QuarantineFile('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\knsgdb91.tmp', '');
 QuarantineFile('C:\Users\Igor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk','');
 QuarantineFile('C:\Users\Igor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk','');
 QuarantineFile('C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 12.10 1652.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk','');
 QuarantineFile('C:\ProgramData\sKmPcQSM\SAcwbQzKEpTRxSU5.bat', '');
 QuarantineFile('C:\Users\Igor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk','');
 QuarantineFile('C:\Users\Igor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk','');
 QuarantineFile('C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 12.10 1652.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk','');
 DeleteFile('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\hnssffc5.tmp', '32');
 DeleteFile('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\jnsye805.tmp', '32');
 DeleteFile('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\knsgdb91.tmp', '32');
 DeleteFile('C:\ProgramData\sKmPcQSM\SAcwbQzKEpTRxSU5.bat', '32');
 DeleteFile('C:\ProgramData\HFFOBzaEW\MiEXego2.bat','32');
 DeleteFile('C:\ProgramData\pFXFxWqP\dOGoigBa0.bat','32');
 DeleteService('fujugize');
 DeleteService('symytupi');
 DeleteService('zycygufo');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 

 
Компьютер перезагрузится
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс настроек Proxy
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

Затем:

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Gluki Постоялец

Gluki

Опубликовано
  • Автор
Опубликовано (изменено)

Логи AdwCleaner и FRST  в аттаче.

 

Ответ ни письмо:

KLAN-3405574681

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

hnssffc5.tmp,
jnsye805.tmp,
Launch Internet Explorer Browser.lnk,
Opera.lnk,
Internet Explorer.lnk,
Opera 12.10 1652.lnk,
Opera_0.lnk,
Google Chrome.lnk,
SAcwbQzKEpTRxSU5.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"

FRST.txt

Addition.txt

Shortcut.txt

AdwCleanerC1.txt

Изменено пользователем Gluki
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2015-12-02 11:34 - 2015-12-02 14:39 - 00000000 ____D C:\Users\Все пользователи\sKmPcQSM
2015-12-02 11:34 - 2015-12-02 14:39 - 00000000 ____D C:\Users\Все пользователи\pFXFxWqP
2015-12-02 11:34 - 2015-12-02 14:39 - 00000000 ____D C:\Users\Все пользователи\HFFOBzaEW
2015-12-02 11:34 - 2015-12-02 14:39 - 00000000 ____D C:\ProgramData\sKmPcQSM
2015-12-02 11:34 - 2015-12-02 14:39 - 00000000 ____D C:\ProgramData\pFXFxWqP
2015-12-02 11:34 - 2015-12-02 14:39 - 00000000 ____D C:\ProgramData\HFFOBzaEW
C:\Users\Igor\AppData\Local\Temp\tmpF7B5.tmp.exe
Shortcut: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\ProgramData\sKmPcQSM\SAcwbQzKEpTRxSU5.bat (No File) <==== ATTENTION
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\ProgramData\HFFOBzaEW\MiEXego2.bat (No File) <==== ATTENTION
AlternateDataStreams: C:\Program Files\Adblock Plus for IE:Win32App_1
AlternateDataStreams: C:\Program Files\Bonjour:Win32App_1
AlternateDataStreams: C:\Program Files\Broadcom:Win32App_1
AlternateDataStreams: C:\Program Files\iTunes:Win32App_1
AlternateDataStreams: C:\Program Files\K-Lite Codec Pack x64:Win32App_1
AlternateDataStreams: C:\Program Files\Microsoft Silverlight:Win32App_1
AlternateDataStreams: C:\Program Files\Uninstall Tool:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Apple Software Update:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Bonjour:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Clip2Net:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\iFunbox 2014:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\KMPlayer:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Master_of_Orion2:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Microsoft Office:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Opera:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Sony:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\TeamViewer:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\The Sims 3. Supernatural:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\The Sims 4:Win32App_1
AlternateDataStreams: C:\Program Files\Common Files\microsoft shared:Win32App_1
AlternateDataStreams: C:\Users\Igor\AppData\LocalLow\Adblock Plus for IE:Win32App_1
FirewallRules: [{B9FC7E3F-F693-4885-8FEB-B3CF03306EBC}] => (Allow) C:\Users\Igor\AppData\Local\Amigo\Application\amigo.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

 

Сообщите что с проблемой.

Ссылка на комментарий
Поделиться на другие сайты
Gluki Постоялец

Gluki

Опубликовано
  • Автор
Опубликовано

Пока не поймал для скриншота, вот что есть в отчетах (правда это в момент проведения лечения).

post-18927-0-75542400-1449069291_thumb.jpg

сейчас проблема с браузерами Хром и Эдже не стартуют + кнопка пуск у винды тоже отказывается работать.

 


Сделал откат системы, заработала кнопка пуск, Edge, все стало нормально с правами учетки, но с браузерами Опера и Хром твориться непонятное.

Хром не может установиться, но работает, а Опера при старте выдает голосовое сообщение (Зря вы покидаете наш сайт), но правда левых страниц не открывается.

Сделал логи занового, посмотрите в какую сторону копать?

CollectionLog-2015.12.02-19.33.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

var PathAutoLogger, CMDLine : string;
 
begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 100000, false)
else ExecuteFile('7za.pif', CMDLine, 0, 100000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

 
архив Report.7z из папки с AutoLogger пожалуйста прикрепите к своему сообщению.
 
 
Повторите лог сканирования AdwCleaner.
 
Наберитесь терпения и не предпринимайте самостоятельных шагов до окончания лечения.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Еще раз:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • sNg
      Неудаляемый вирус
      От sNg
      Доброго времени суток. Имеется вот такая история:
      Купил новый ноутбук (HP Laptop 17-cp0035ua). С покупки был с предустановленным DOS. Я его снес, накатил Win10. После установки, на чистой винде в браузере начали странно себя вести страницы, а именно редиректить при открытии на всякие сайты. Первостепенно редиректит на 89.208.107.49. Работает не со всеми сайтами, случайно. Решил переустановить, подумал в установочнике вирус или на флешке.
      Установил с официальных дистрибутивов на новой флешке. Результат тот же. На абсолютно голой системе без драйверов такая же ситуация, редирект на те же сайты.
      Ладно, решил копать дальше. Проверил систему Malwarebytes, нашел вирус, удалил, но ситуация не исправилась. 
      Проверил систему KVRT. Не нашел ничего.
      Проверил систему из под live usb Eset. Нашел вирус injector.autoit в загрузочнике и всякую мелочь. Удалил. Ура, подумал я, наконец решилось, но нет. После очередной новой установки результат тот же.
      Решил решить проблему радикально - сменить ssd. Сменил. И проблема осталась. Менял оперативку. Результат тот же. Обновил БИОС. Результат тот же.
      НО! Если включить VPN (WARP) или вручную сменить DNS в настройках то проблема пропадает. Но сам вирус или что это такое остается. 
    • RichardVirus
      [РЕШЕНО] Опасение вируса
      От RichardVirus
      Здравствуйте, хочу как минимум провести с вами профилактику компьютера на вирусы.
      Обычно делаю проверку Dr Web cureit и он жалуется на 2 программы (RusExcel и WinWord), которые я скачивал как аналоги оригинальных программ с сайта softportal.
      Хочу у вас узнать вирусные это программы или нет, сделал проверку dr web, но лог слишком много весит и не могу прикрепить файл. Его я загрузил на яндекс диск - https://disk.yandex.ru/d/F2pxwexO6nq5Rg

      CollectionLog-2025.03.13-22.11.zip
    • AlexD777
      Вирус, клавиатура.
      От AlexD777
      Как убрать вирус в клав?
      Странно начал здесь набирать вопрос и клава восстановилась (вот что крест (Касперский) животворящий творит!).
      Любопытно надолго ли?
      Но пока вопрос исчерпан. Спасибо.
       
      Пршл три часа и вс пвтрилсь
      странн нктры буквы и цифры н. Впрс встал в нвую силу. Смжт ли ли антивирус рабраться с клав.
       
      Пхж и к сжалнию н мжт.   
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Vlad05
      Засыпали вирусы
      От Vlad05
      Через Yandex-почту получил 29 мая письмо. Появились первые трояны, через два дня Avast перстал справляться, установил Касперского, но и он все вылечить не может. Помогите, с уважением, Владимир.
      virusinfo_syscheck.zip
      virusinfo_syscure.zip
      hijackthis.rar
    • obed
      Вирус Tool.btcMine 2782
      От obed
      CollectionLog-2025.03.22-01.13.zip
      помогите пожалуйста((((
       
      Всех приветствую, на днях словил майнер tool.btcmine.2782, пытался удалить через dr.web, не получается, майнер все равно появляется. Просьба помочь удалить майнер, буду рад вашей помощи.
       
      Сообщение от модератора thyrex Перемещено из Интервью с экспертами
       
×
×
  • Создать...