Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

вирус обнаружен, но он не удаляется

Анастасия Дергачева

Автор Анастасия Дергачева
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Анастасия Дергачева Постоялец

Анастасия Дергачева

Опубликовано
Опубликовано

Запустила антивирус на проверку ноутбука на наличие вирусов. Все, которые он нашел, были удалены, кроме одного. Постоянно при входе в систему появляется уведомление, что обнаружен вирус, и на стартовой странице антивируса есть оповещение о наличии одной проблемы. При этом, он не устраняет вирус. Из-за вируса теперь в поисковике google идет перенаправление на go.mail, устанавливаются автоматически расширения в Googlechrome, при входе в систему появляется окно с рекламой, в MSOffice создана вкладка с китайскими символами. 

CollectionLog-2016.06.12-14.29.zip

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 52
  • Создана
  • Последний ответ

Топ авторов темы

  • Анастасия Дергачева

    27

  • Sandor

    24

  • Roman_Five

    2

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Sandor
Sandor

Ясно.   Спасибо @andrew75 за подсказку.   @Анастасия Дергачева, прочтите и выполните Рекомендации после удаления вредоносного ПО

Sandor
Sandor

1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По оконча

Анастасия Дергачева
Анастасия Дергачева

он так долго проверял, больше трех часов. нашел 19 угроз. но написано в правилах, что ничего самстоятельно не удалять проверка.txt

Изображения в теме

Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 SetServiceStart('tsnethlpx64', 4);
 SetServiceStart('SRepairDrv', 4);
 SetServiceStart('softaal', 4);
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('dowidoly', 4);
 SetServiceStart('jevisuvyzbt', 4);
 SetServiceStart('QifiryplohelebuilderSrv', 4);
 SetServiceStart('QQRepair63', 4);
 SetServiceStart('QQRepairFixSVC', 4);
 SetServiceStart('rijufoze', 4);
 QuarantineFile('C:\Program Files\spacesoundpro\uninstaller.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\SyManager\updater\python\pythonw.exe','');
 QuarantineFile('C:\Program Files (x86)\ttwifi\tiantianwifi.exe','');
 QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\00013155\casrss.exe','');
 QuarantineFile('C:\ProgramData\WindowsMsg\osmsg.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\UrlControl_\url_opener.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\PPTAssist\notify.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\7774633137_2547\s_inst.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys','');
 QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\hnsk7574.tmp','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair63','');
 QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5','');
 QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\knsd30F1.tmpfs','');
 QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\jnsp5A0B.tmp','');
 DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\jnsp5A0B.tmp','32');
 DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\knsd30F1.tmpfs','32');
 DeleteFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair63','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC','32');
 DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\hnsk7574.tmp','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys','32');
 DeleteFile('C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe','32');
 DeleteFile('C:\Windows\Tasks\7774633137_2547.job','32');
 DeleteFile('C:\Windows\Tasks\PPTAssistantNotifyTask_1.job','32');
 DeleteFile('C:\Windows\Tasks\PPTAssistantUpdateTask_1.job','32');
 DeleteFile('C:\Windows\Tasks\UrlControl.job','32');
 DeleteFile('C:\Users\1\AppData\Local\7774633137_2547\s_inst.exe','32');
 DeleteFile('C:\Users\1\AppData\Local\PPTAssist\notify.exe','32');
 DeleteFile('C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\UrlControl_\url_opener.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\7774633137_2547','64');
 DeleteFile('C:\Windows\system32\Tasks\AVAST Software\Avast settings backup','64');
 DeleteFile('C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\PPTAssistantNotifyTask_1','64');
 DeleteFile('C:\Windows\system32\Tasks\PPTAssistantUpdateTask_1','64');
 DeleteFile('C:\Users\1\AppData\Local\Temp\00013155\casrss.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Pritc','64');
 DeleteFile('C:\Windows\system32\Tasks\Qifiryplohele Builder','64');
 DeleteFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe','32');
 DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QGuan90132');
 DeleteService('tsnethlpx64');
 DeleteService('SRepairDrv');
 DeleteService('softaal');
 DeleteService('QMUdisk');
 DeleteService('dowidoly');
 DeleteService('jevisuvyzbt');
 DeleteService('QifiryplohelebuilderSrv');
 DeleteService('QQRepair63');
 DeleteService('QQRepairFixSVC');
 DeleteService('rijufoze');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.
Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.
2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.
3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=90820167_hao_pg
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=90820167_hao_pg
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms}
O4 - HKCU\..\Run: [QGuan90132] C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe /autorun
O20 - AppInit_DLLs: C:\ProgramData\Lamzap\Mathin.dll
 
Сделайте новые логи по правилам (только пункт 2).
 

+
приложите логи AdwCleaner и FRST 


http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на комментарий
Поделиться на другие сайты
Анастасия Дергачева Постоялец

Анастасия Дергачева

Опубликовано
  • Автор
Опубликовано

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 SetServiceStart('tsnethlpx64', 4);
 SetServiceStart('SRepairDrv', 4);
 SetServiceStart('softaal', 4);
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('dowidoly', 4);
 SetServiceStart('jevisuvyzbt', 4);
 SetServiceStart('QifiryplohelebuilderSrv', 4);
 SetServiceStart('QQRepair63', 4);
 SetServiceStart('QQRepairFixSVC', 4);
 SetServiceStart('rijufoze', 4);
 QuarantineFile('C:\Program Files\spacesoundpro\uninstaller.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\SyManager\updater\python\pythonw.exe','');
 QuarantineFile('C:\Program Files (x86)\ttwifi\tiantianwifi.exe','');
 QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\00013155\casrss.exe','');
 QuarantineFile('C:\ProgramData\WindowsMsg\osmsg.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\UrlControl_\url_opener.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\PPTAssist\notify.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\7774633137_2547\s_inst.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys','');
 QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\hnsk7574.tmp','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair63','');
 QuarantineFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5','');
 QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\knsd30F1.tmpfs','');
 QuarantineFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\jnsp5A0B.tmp','');
 DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\jnsp5A0B.tmp','32');
 DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\knsd30F1.tmpfs','32');
 DeleteFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair63','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC','32');
 DeleteFile('C:\Program Files (x86)\E92439B9-1465581907-9447-ABD5-48F493D787C7\hnsk7574.tmp','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys','32');
 DeleteFile('C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe','32');
 DeleteFile('C:\Windows\Tasks\7774633137_2547.job','32');
 DeleteFile('C:\Windows\Tasks\PPTAssistantNotifyTask_1.job','32');
 DeleteFile('C:\Windows\Tasks\PPTAssistantUpdateTask_1.job','32');
 DeleteFile('C:\Windows\Tasks\UrlControl.job','32');
 DeleteFile('C:\Users\1\AppData\Local\7774633137_2547\s_inst.exe','32');
 DeleteFile('C:\Users\1\AppData\Local\PPTAssist\notify.exe','32');
 DeleteFile('C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe','32');
 DeleteFile('C:\Users\1\AppData\Roaming\UrlControl_\url_opener.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\7774633137_2547','64');
 DeleteFile('C:\Windows\system32\Tasks\AVAST Software\Avast settings backup','64');
 DeleteFile('C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\PPTAssistantNotifyTask_1','64');
 DeleteFile('C:\Windows\system32\Tasks\PPTAssistantUpdateTask_1','64');
 DeleteFile('C:\Users\1\AppData\Local\Temp\00013155\casrss.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Pritc','64');
 DeleteFile('C:\Windows\system32\Tasks\Qifiryplohele Builder','64');
 DeleteFile('C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderTsk.exe','32');
 DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QGuan90132');
 DeleteService('tsnethlpx64');
 DeleteService('SRepairDrv');
 DeleteService('softaal');
 DeleteService('QMUdisk');
 DeleteService('dowidoly');
 DeleteService('jevisuvyzbt');
 DeleteService('QifiryplohelebuilderSrv');
 DeleteService('QQRepair63');
 DeleteService('QQRepairFixSVC');
 DeleteService('rijufoze');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.
Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.
2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.
3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=90820167_hao_pg
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=90820167_hao_pg
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpPijEG-2vbcSA1x54BZ77HeHNjfiuOdslqLg22_9YxvCtUNzP_wjzAJTao7MXAjdgm5Y5tNKFB5sm8-G0boSO5v2_6VfkGgrx270yqUp9RVqiAsZgJT_izb1B1yEg4VBLUlhQlDe5xY9VepcXl9QtrhKpsd&q={searchTerms}
O4 - HKCU\..\Run: [QGuan90132] C:\Users\1\AppData\Roaming\UPUpdata\service90132.exe /autorun
O20 - AppInit_DLLs: C:\ProgramData\Lamzap\Mathin.dll
 
Сделайте новые логи по правилам (только пункт 2).
 

+

приложите логи AdwCleaner и FRST 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

 

 

На почту ответ еще не пришел. Это то, что тоже надо было прикрепить

Addition.txt

AdwCleanerS1.txt

CollectionLog-2016.06.13-00.35.zip

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки и отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

 

2. Еще раз повторите логи FRST.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Анастасия Дергачева Постоялец

Анастасия Дергачева

Опубликовано
  • Автор
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки и отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

 

 

2. Еще раз повторите логи FRST.

 

 

 

Я полностью удалила Chrome, потому что Касперский распознает его не иначе как вирус. Если снова его скачивать с сайта, то установка даже не проходит, на этапе скачивания все заканчивается, прерывается загрузка. установила Orbitum вместо Chrome. Те действия, которые Вы предложили, в этом случае применять?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
S2 QifiryplohelebuilderSrv; "C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X]
CHR Extension: (Lowcostbar) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\nepakmljodobhlbbkpobblnifmhclemh [2016-06-12]
2016-06-11 13:25 - 2016-06-11 13:25 - 00000000 ____D C:\Users\1\AppData\Roaming\kingsoft
2016-06-11 13:14 - 2016-06-11 17:25 - 00000000 ____D C:\ProgramData\kingsoft
2016-06-11 13:14 - 2016-05-04 12:44 - 04232400 _____ (Kingsoft Corp. Ltd.) C:\Users\1\AppData\Roaming\OfficeAssist.0172.80.1384.exe
2016-06-11 13:13 - 2016-02-18 13:10 - 05267952 _____ () C:\Users\1\AppData\Roaming\ziptool_wc-9015_setup.exe
2016-06-10 23:16 - 2016-06-11 15:30 - 00250912 _____ C:\Windows\SysWOW64\kz.exe
2016-06-10 22:32 - 2016-06-10 22:32 - 00092872 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys
2016-06-10 22:32 - 2016-06-10 22:32 - 00000000 ____D C:\Users\1\AppData\Roaming\Softlink
2016-06-10 22:32 - 2016-03-03 06:14 - 00656952 _____ (Beijing Hongda wanfang technology Co.,Ltd.) C:\Users\1\AppData\Roaming\setup_31019.exe
2016-06-10 22:31 - 2016-06-10 22:47 - 00000000 ____D C:\Users\1\AppData\Roaming\Kuaizip
2016-06-10 22:31 - 2016-02-18 06:56 - 07318464 _____ C:\Users\1\AppData\Roaming\KuaiZip_Setup_1875570831_jiuzhuan_001.exe
2016-06-10 22:24 - 2016-04-22 14:35 - 51987648 _____ C:\Users\1\AppData\Roaming\qqpcmgr_v11.5.17490.219_72564_Silence.exe
2016-06-10 22:19 - 2016-06-10 22:19 - 06867968 _____ C:\Users\1\AppData\Roaming\agent.dat
2016-06-10 22:19 - 2016-06-10 22:19 - 00126464 _____ C:\Users\1\AppData\Roaming\noah.dat
2016-06-10 22:19 - 2016-06-10 22:19 - 00069072 _____ C:\Users\1\AppData\Roaming\Config.xml
2016-06-10 22:19 - 2016-06-10 22:19 - 00018432 _____ C:\Users\1\AppData\Roaming\Main.dat
2016-06-10 22:18 - 2016-06-10 22:19 - 00005568 _____ C:\Users\1\AppData\Roaming\md.xml
2016-06-10 22:18 - 2016-06-10 22:18 - 01760384 _____ C:\Users\1\AppData\Roaming\Groovelux.tst
2016-06-10 22:18 - 2016-06-10 22:18 - 00126464 _____ C:\Users\1\AppData\Roaming\lobby.dat
2016-06-10 22:18 - 2016-06-10 22:18 - 00072704 _____ C:\Users\1\AppData\Roaming\MathCore.tst
2016-06-10 22:18 - 2016-06-10 22:18 - 00054272 _____ C:\Users\1\AppData\Roaming\ApplicationHosting.dat
2016-06-10 22:15 - 2016-06-10 22:26 - 00000000 ____D C:\Program Files (x86)\HPProtector
2016-06-10 22:14 - 2016-06-15 11:01 - 00000000 ____D C:\Users\1\AppData\Roaming\UrlControl_
2016-06-10 22:13 - 2016-06-15 11:01 - 00000000 ____D C:\Users\1\AppData\Local\7774633137_2547
2016-06-10 22:13 - 2016-06-13 00:01 - 00000000 ____D C:\Program Files (x86)\Qifiryplohele
2016-06-10 22:13 - 2016-06-10 22:20 - 00000000 ____D C:\Program Files (x86)\Bmotain
2016-06-10 22:13 - 2016-04-22 14:39 - 51987648 _____ C:\Users\1\AppData\Roaming\qqpcmgr_v11.5.17490.219_72530_Silence.exe
2016-06-10 22:12 - 2016-06-12 14:04 - 00000000 ____D C:\Program Files (x86)\mpck
2016-06-10 22:12 - 2016-06-10 22:13 - 00018288 _____ C:\Users\1\AppData\Roaming\InstallationConfiguration.xml
2016-06-10 22:12 - 2016-06-10 22:12 - 00128512 _____ C:\Users\1\AppData\Roaming\Installer.dat
2016-06-10 22:06 - 2016-06-10 22:03 - 00001043 _____ C:\Windows\system32\Drivers\etc\hp.bak
2016-06-10 22:03 - 2016-06-12 14:04 - 00000000 ____D C:\Users\1\AppData\Local\SystemMonitor2016
2016-05-28 20:27 - 2016-05-28 20:27 - 00000000 ____D C:\Users\1\AppData\Roaming\ProductData
2016-05-28 20:25 - 2016-06-13 12:22 - 00000000 ____D C:\ProgramData\ProductData
2016-05-28 20:25 - 2016-05-28 20:31 - 00000000 ____D C:\Program Files (x86)\IObit
2016-05-28 20:25 - 2016-05-28 20:27 - 00000000 ____D C:\ProgramData\IObit
2016-05-28 20:25 - 2016-05-28 20:26 - 00000000 ____D C:\Users\1\AppData\Roaming\IObit
2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Users\1\AppData\Roaming\Apple Computer
2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Users\1\AppData\LocalLow\IObit
2016-05-28 20:22 - 2016-06-10 22:26 - 00000000 ____D C:\Users\1\AppData\LocalLow\Unity
2016-05-28 20:22 - 2016-06-10 22:26 - 00000000 ____D C:\Users\1\AppData\Local\Unity
2016-05-28 20:22 - 2016-05-28 20:34 - 00000000 ____D C:\Users\1\AppData\Roaming\SyManager
2016-05-28 20:22 - 2016-05-28 20:22 - 00003240 _____ C:\Windows\System32\Tasks\SyManager
Task: {0CDCAF0C-CC57-4F89-A18A-D82E9479DF18} - System32\Tasks\SyManager => C:\Users\1\AppData\Roaming\SyManager\updater\python\pythonw.exe
Task: {0F019B87-460F-4ADA-9C6D-9E2969445379} - \Pritc -> No File <==== ATTENTION
Task: {6C491E46-25D8-485E-8459-2E5020662AAF} - \Qifiryplohele Builder -> No File <==== ATTENTION
Task: {6D2F1514-812B-4ED4-BF97-E176AE324460} - \AVAST Software\Avast settings backup -> No File <==== ATTENTION
Task: {9B025281-BABA-4B11-8F91-18A6CF0BB37D} - \{D2BCF12B-67CA-41A5-A23F-1CC9ECC8949A} -> No File <==== ATTENTION
Task: {B54088DF-F7DE-4414-B9A3-9A8DB371F505} - System32\Tasks\PPTAssistantUpdateTask_1 => C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\PPTAssistantUpdateTask_1.job => C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Анастасия Дергачева Постоялец

Анастасия Дергачева

Опубликовано
  • Автор
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
S2 QifiryplohelebuilderSrv; "C:\Program Files (x86)\Qifiryplohele\QifiryplohelebuilderSrv.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X]
CHR Extension: (Lowcostbar) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\nepakmljodobhlbbkpobblnifmhclemh [2016-06-12]
2016-06-11 13:25 - 2016-06-11 13:25 - 00000000 ____D C:\Users\1\AppData\Roaming\kingsoft
2016-06-11 13:14 - 2016-06-11 17:25 - 00000000 ____D C:\ProgramData\kingsoft
2016-06-11 13:14 - 2016-05-04 12:44 - 04232400 _____ (Kingsoft Corp. Ltd.) C:\Users\1\AppData\Roaming\OfficeAssist.0172.80.1384.exe
2016-06-11 13:13 - 2016-02-18 13:10 - 05267952 _____ () C:\Users\1\AppData\Roaming\ziptool_wc-9015_setup.exe
2016-06-10 23:16 - 2016-06-11 15:30 - 00250912 _____ C:\Windows\SysWOW64\kz.exe
2016-06-10 22:32 - 2016-06-10 22:32 - 00092872 _____ (WinMount International Inc) C:\Windows\system32\Drivers\KuaiZipDrive.sys
2016-06-10 22:32 - 2016-06-10 22:32 - 00000000 ____D C:\Users\1\AppData\Roaming\Softlink
2016-06-10 22:32 - 2016-03-03 06:14 - 00656952 _____ (Beijing Hongda wanfang technology Co.,Ltd.) C:\Users\1\AppData\Roaming\setup_31019.exe
2016-06-10 22:31 - 2016-06-10 22:47 - 00000000 ____D C:\Users\1\AppData\Roaming\Kuaizip
2016-06-10 22:31 - 2016-02-18 06:56 - 07318464 _____ C:\Users\1\AppData\Roaming\KuaiZip_Setup_1875570831_jiuzhuan_001.exe
2016-06-10 22:24 - 2016-04-22 14:35 - 51987648 _____ C:\Users\1\AppData\Roaming\qqpcmgr_v11.5.17490.219_72564_Silence.exe
2016-06-10 22:19 - 2016-06-10 22:19 - 06867968 _____ C:\Users\1\AppData\Roaming\agent.dat
2016-06-10 22:19 - 2016-06-10 22:19 - 00126464 _____ C:\Users\1\AppData\Roaming\noah.dat
2016-06-10 22:19 - 2016-06-10 22:19 - 00069072 _____ C:\Users\1\AppData\Roaming\Config.xml
2016-06-10 22:19 - 2016-06-10 22:19 - 00018432 _____ C:\Users\1\AppData\Roaming\Main.dat
2016-06-10 22:18 - 2016-06-10 22:19 - 00005568 _____ C:\Users\1\AppData\Roaming\md.xml
2016-06-10 22:18 - 2016-06-10 22:18 - 01760384 _____ C:\Users\1\AppData\Roaming\Groovelux.tst
2016-06-10 22:18 - 2016-06-10 22:18 - 00126464 _____ C:\Users\1\AppData\Roaming\lobby.dat
2016-06-10 22:18 - 2016-06-10 22:18 - 00072704 _____ C:\Users\1\AppData\Roaming\MathCore.tst
2016-06-10 22:18 - 2016-06-10 22:18 - 00054272 _____ C:\Users\1\AppData\Roaming\ApplicationHosting.dat
2016-06-10 22:15 - 2016-06-10 22:26 - 00000000 ____D C:\Program Files (x86)\HPProtector
2016-06-10 22:14 - 2016-06-15 11:01 - 00000000 ____D C:\Users\1\AppData\Roaming\UrlControl_
2016-06-10 22:13 - 2016-06-15 11:01 - 00000000 ____D C:\Users\1\AppData\Local\7774633137_2547
2016-06-10 22:13 - 2016-06-13 00:01 - 00000000 ____D C:\Program Files (x86)\Qifiryplohele
2016-06-10 22:13 - 2016-06-10 22:20 - 00000000 ____D C:\Program Files (x86)\Bmotain
2016-06-10 22:13 - 2016-04-22 14:39 - 51987648 _____ C:\Users\1\AppData\Roaming\qqpcmgr_v11.5.17490.219_72530_Silence.exe
2016-06-10 22:12 - 2016-06-12 14:04 - 00000000 ____D C:\Program Files (x86)\mpck
2016-06-10 22:12 - 2016-06-10 22:13 - 00018288 _____ C:\Users\1\AppData\Roaming\InstallationConfiguration.xml
2016-06-10 22:12 - 2016-06-10 22:12 - 00128512 _____ C:\Users\1\AppData\Roaming\Installer.dat
2016-06-10 22:06 - 2016-06-10 22:03 - 00001043 _____ C:\Windows\system32\Drivers\etc\hp.bak
2016-06-10 22:03 - 2016-06-12 14:04 - 00000000 ____D C:\Users\1\AppData\Local\SystemMonitor2016
2016-05-28 20:27 - 2016-05-28 20:27 - 00000000 ____D C:\Users\1\AppData\Roaming\ProductData
2016-05-28 20:25 - 2016-06-13 12:22 - 00000000 ____D C:\ProgramData\ProductData
2016-05-28 20:25 - 2016-05-28 20:31 - 00000000 ____D C:\Program Files (x86)\IObit
2016-05-28 20:25 - 2016-05-28 20:27 - 00000000 ____D C:\ProgramData\IObit
2016-05-28 20:25 - 2016-05-28 20:26 - 00000000 ____D C:\Users\1\AppData\Roaming\IObit
2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Users\1\AppData\Roaming\Apple Computer
2016-05-28 20:25 - 2016-05-28 20:25 - 00000000 ____D C:\Users\1\AppData\LocalLow\IObit
2016-05-28 20:22 - 2016-06-10 22:26 - 00000000 ____D C:\Users\1\AppData\LocalLow\Unity
2016-05-28 20:22 - 2016-06-10 22:26 - 00000000 ____D C:\Users\1\AppData\Local\Unity
2016-05-28 20:22 - 2016-05-28 20:34 - 00000000 ____D C:\Users\1\AppData\Roaming\SyManager
2016-05-28 20:22 - 2016-05-28 20:22 - 00003240 _____ C:\Windows\System32\Tasks\SyManager
Task: {0CDCAF0C-CC57-4F89-A18A-D82E9479DF18} - System32\Tasks\SyManager => C:\Users\1\AppData\Roaming\SyManager\updater\python\pythonw.exe
Task: {0F019B87-460F-4ADA-9C6D-9E2969445379} - \Pritc -> No File <==== ATTENTION
Task: {6C491E46-25D8-485E-8459-2E5020662AAF} - \Qifiryplohele Builder -> No File <==== ATTENTION
Task: {6D2F1514-812B-4ED4-BF97-E176AE324460} - \AVAST Software\Avast settings backup -> No File <==== ATTENTION
Task: {9B025281-BABA-4B11-8F91-18A6CF0BB37D} - \{D2BCF12B-67CA-41A5-A23F-1CC9ECC8949A} -> No File <==== ATTENTION
Task: {B54088DF-F7DE-4414-B9A3-9A8DB371F505} - System32\Tasks\PPTAssistantUpdateTask_1 => C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe <==== ATTENTION
Task: C:\Windows\Tasks\PPTAssistantUpdateTask_1.job => C:\Users\1\AppData\Local\PPTAssist\assistupdate.exe <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Анастасия Дергачева Постоялец

Анастасия Дергачева

Опубликовано
  • Автор
Опубликовано

Что сейчас с проблемой?

 

вот такое уведомление было постоянно, на всех этапах. Он не удаляется при выборе "устранить"

post-38895-0-95832400-1466010470_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
Анастасия Дергачева Постоялец

Анастасия Дергачева

Опубликовано
  • Автор
Опубликовано

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

после завершения был создан еще report 2

CollectionLog-2016.06.17-14.36.zip

report2.log

Ссылка на комментарий
Поделиться на другие сайты
Анастасия Дергачева Постоялец

Анастасия Дергачева

Опубликовано
  • Автор
Опубликовано

первый раз запустила с выключенным антивирусом, потом поняла, что сделала что-то не то и запустила второй раз, но отключить антивирус уже забыла

CollectionLog-2016.06.17-15.00.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Belvol
      [РЕШЕНО] Не удаляется вирус Win32/Trojan.Generic.HgLATxcA
      Автор Belvol
      Здравствуйте. Поймал троян-майнер. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста
      CollectionLog-2025.07.01-00.20.zip
    • DKOFFICIAL
      Скрытый вирус и не удаляемый
      Автор DKOFFICIAL
      Здравствуйте, помогите пожалуйста, переустанавливал windows несколько раз, пробовал жесткий диск менять, не помогает ничего, поймал какой то вирус, когда поймал не было никаких антивирусов скачанных, и пошло поехала, начали запускаться программы и потом вовсе рабочий стол пропал и черный экран был, перезагрузил ноутбук стало все нормально резко, и с тех пор греется ноутбук, цп нагружается щас на все 100 бывает после того как проверяет антивирус на вирусы и то ничего не находит и то редко поднимается до 100, в большинстве случаев до 60-70 грузиться, а в обычном режиме ноута, грузиться память на 50%, и гудит вентилятор и греется ноутбук, хотя до этого всего не было такого от слова совсем, антивирусы не находят, пробовал через dr web и kaspersky, в основном с kaspersky, так как куплена подписка, бывает даже иногда мышка сама по себе ходит, 1 раз когда перезагрузил ноутбук, создался учетная запись и пароль стоял на ноутбуке, пришлось менять винду,не знаю уже что делать. Браузер когда запускаю, в диспетчере задач показывает что браузер открыт аж целых 20-30раз одновременно.Стало более менее когда поставил винду урезанную пиратскую, где больше приложений от windows урезана и удаленный доступ отключен, ноутбук не старый, i5-12450h процессор, 16гб оперативки.
    • hvfrwd
      Аккаунт не удаляется
      Автор hvfrwd
      Я хочу удалить всё это потому что когда при поиске в моего ника в интернете показывает как я удалял майнер, а это не круто. Этот аккаунт я пытался удалить но не получилось. Пишет "Ваш аккаунт ожидает удаления. Пожалуйста, проверьте свою почту и нажмите на ссылку в ней для подтверждения.", а когда нажимаю на эту ссылку для подтверждения пишет "Запрос на удаление аккаунт подтверждён" и ничего не происходит. 
    • Karasik3412
      Майнер Tool.BtcMine.2794 не удаляется
      Автор Karasik3412
      Удаляю с помощью dr web cureit, но после перезаугрзки снова появляется
      AYLI_2025-06-27_02-19-11_v5.0.RC2.v x64.7z
    • Adowne
      [РЕШЕНО] xoscarfcysrp.exe не удаляется
      Автор Adowne
      Доброго времени суток.

      Через Malwarebytes решил проверить пк на вирусы, обнаружился некий товарищ, появился сервис KMDIPP с путём C:\ProgramData\vgodrqhybann\xoscarfcysrp.exe, просмотрел через реестр, удалял, менял значения, в свою очередь сервис пересоздавался и бойкотировал, отправляя левый трафик на непонятные порты. (скриншот прикрепил)
      После проходки Uvs, доверенные процессы логгер пометил подозрительными. (лог прикрепил)
      После происходящего, сел на Dr.Web, пришло много заблокированных команд с Powershell (Прикрепить не могу, расширение файла другое), потом успокоился, прошёлся снова Uvs в надежде, что это что-то исправит, однако те же процессы как Dialer.exe и прочие были помечены а сервис KMDIPP с exeшником остался.


      CollectionLog через AutoLogger сделал после всех манипуляций.
       

      CollectionLog-2025.05.31-13.16.zip USER-PC_2025-05-31_11-05-12_v5.0.RC2.v x64.7z
×
×
  • Создать...