слетает активное окно

[pavel9427]

слетает активное окно через каждые секунд 15 когда появилась не знаю знакомые посмореть попросили говорят давно

CollectionLog-2016.07.24-22.38.zip

[mike 1]

Очередная помойка, а не компьютер.

 

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\User\appdata\roaming\cppredistx86.exe','');
 QuarantineFile('C:\Users\User\appdata\roaming\svchost.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\privoxy\Ctfhost\ctfhost.exe','');
 QuarantineFile('C:\Program Files (x86)\Torrent Search\ho6pQqI.exe','');
 DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
 DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
 StopService('UbarCalloutDriver');
 StopService('0d40da67ced78a021f199fb9f42d5486');
 DeleteService('UbarCalloutDriver');
 DeleteService('0d40da67ced78a021f199fb9f42d5486');
 StopService('clr_optimization_v1.02');
 DeleteService('clr_optimization_v1.02');
 DeleteService('UbarPolicyProvider');
 DeleteService('AppxafmaD');
 StopService('CppWindowsService');
 StopService('CloudPrinter');
 StopService('adblockpro');
 DeleteService('CppWindowsService');
 DeleteService('CloudPrinter');
 DeleteService('adblockpro');
 TerminateProcessByName('c:\program files\spacesoundpro\spacesoundpro.exe');
 QuarantineFile('c:\program files\spacesoundpro\spacesoundpro.exe','');
 TerminateProcessByName('C:\ProgramData\Skype\Temp\2514\SkyService.exe');
 QuarantineFile('C:\ProgramData\Skype\Temp\2514\SkyService.exe','');
 TerminateProcessByName('C:\Users\User\AppData\Roaming\Identities\Realtek HD\rthdcpl.exe');
 QuarantineFile('C:\Users\User\AppData\Roaming\Identities\Realtek HD\rthdcpl.exe','');
 TerminateProcessByName('c:\users\user\appdata\roaming\adblockpro\privoxy.exe');
 QuarantineFile('c:\users\user\appdata\roaming\adblockpro\privoxy.exe','');
 TerminateProcessByName('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe');
 QuarantineFile('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe','');
 TerminateProcessByName('c:\program files (x86)\torrent search\ieef\fmi5f7uqre.exe');
 QuarantineFile('c:\program files (x86)\torrent search\ieef\fmi5f7uqre.exe','');
 TerminateProcessByName('c:\program files (x86)\filter\2\cppwindowsservice.exe');
 QuarantineFile('c:\program files (x86)\filter\2\cppwindowsservice.exe','');
 TerminateProcessByName('c:\programdata\cloudprinter\cloudprinter.exe');
 QuarantineFile('c:\programdata\cloudprinter\cloudprinter.exe','');
 DeleteFile('c:\programdata\cloudprinter\cloudprinter.exe','32');
 DeleteFile('c:\program files (x86)\filter\2\cppwindowsservice.exe','32');
 DeleteFile('c:\program files (x86)\torrent search\ieef\fmi5f7uqre.exe','32');
 DeleteFile('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe','32');
 DeleteFile('c:\users\user\appdata\roaming\adblockpro\privoxy.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\Identities\Realtek HD\rthdcpl.exe','32');
 DeleteFile('C:\ProgramData\Skype\Temp\2514\SkyService.exe','32');
 DeleteFile('c:\program files\spacesoundpro\spacesoundpro.exe','32');
 DeleteFile('C:\Program Files\UBar\UbarService.exe','32');
 DeleteFile('C:\ProgramData\AppxafmaD\AppxafmaD.exe','32');
 DeleteFile('C:\Program Files (x86)\filter\2\CppWindowsService.exe','32');
 DeleteFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\adblockpro\privoxy.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\nssm.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\0d40da67ced78a021f199fb9f42d5486.sys','32');
 DeleteFile('C:\Program Files\UBar\UbarDriver.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
 DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\FmI5F7UQRE.dll','32');
 DeleteFile('C:\Program Files (x86)\Torrent Search\ho6pQqI.exe','32');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job','32');
 DeleteFile('C:\Windows\Tasks\PED_Torrent_Search.job','32');
 DeleteFile('C:\Windows\system32\Tasks\CTF Host','64');
 DeleteFile('C:\Users\User\AppData\Roaming\privoxy\Ctfhost\ctfhost.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\extsetup','64');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\SafeBrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\VideoFetcher','64');
 DeleteFile('C:\ProgramData\VideoFetcher\VideoFetcher.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\PED_Torrent_Search','64');
 DeleteFile('C:\Windows\system32\Tasks\Realtek HD Audio','64');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\User\AppData\Local\Hostinstaller\1184624698_monster.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SyManager','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search2','64');
ClearHostsFile;
 DeleteFile('C:\Users\User\appdata\roaming\svchost.exe','32');
 DeleteFile('C:\Users\User\appdata\roaming\cppredistx86.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи

 

[pavel9427]

KLAN-4733000740

 

 

Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

SkyService.exe,
pfhttpcontentfilter.exe,
cloudprinter.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию

 

новые логи

CollectionLog-2016.07.25-21.40.zip

[Roman_Five]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.
 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 SetServiceStart('netfilter2', 4);
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys','');
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys','32');
 DeleteService('netfilter2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.

Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.

2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.

3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVfHKT0_PmcsKeqnIZqvsoDdJo7Sa_3j1AYB4NnB3wfCc2FUtCaez-FNSm7VsAvmzD7o0AP3uswHDw20On0bYOiHHNeFU4YHWEDVHlezSmEnY0nKxb_qZzDjm510l1M5FLOm6gUnnmo6NdIhczQa_z5RCylQgrUtadiLDWqfCuIt1ADby15F8K6N2qI2k,&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVfHKT0_PmcsKeqnIZqvsoDdJo7Sa_3j1AYB4NnB3wfCc2FUtCaez-FNSm7VsAvmzD7o0AP3uswHDw20On0bYOiHHNeFU4YHWEDVHlezSmEnY0nKxb_qZzDjm510l1M5FLOm6gUnnmo6NdIhczQa_z5RCylQgrUtadiLDWqfCuIt1ADby15F8K6N2qI2k,&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVfHKT0_PmcsKeqnIZqvsoDdJo7Sa_3j1AYB4NnB3wfCc2FUtCaez-FNSm7VsAvmzD7o0AP3uswHDw20On0bYOiHHNeFU4YHWEDVHlezSmEnY0nKxb_qZzDjm510l1M5FLOm6gUnnmo6NdIhczQa_z5RCylQgrUtadiLDWqfCuIt1ADby15F8K6N2qI2k,&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVfHKT0_PmcsKeqnIZqvsoDdJo7Sa_3j1AYB4NnB3wfCc2FUtCaez-FNSm7VsAvmzD7o0AP3uswHDw20On0bYOiHHNeFU4YHWEDVHlezSmEnY0nKxb_qZzDjm510l1M5FLOm6gUnnmo6NdIhczQa_z5RCylQgrUtadiLDWqfCuIt1ADby15F8K6N2qI2k,&q={searchTerms}

 

Сделайте новые логи по правилам (только пункт 2).

+ лог AdwCleaner

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

[pavel9427]

извиняюсь что так долго не отвечал, AVZ кажется не создал новый файл с карантином так как он от 25 июля, прикладываю, я его отправлял на портал Kaspersky Online Scanner.

 

 

Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

SkyService.exe,
pfhttpcontentfilter.exe,
cloudprinter.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

 

активное окно сейчас не слетает 

CollectionLog-2016.07.29-20.14.zip

AdwCleanerS1.txt

ClearLNK-29.07.2016_19-23.log

Изменено 29 июля, 2016 пользователем pavel9427

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.