Андрей Чернышев Опубликовано 19 октября, 2016 Share Опубликовано 19 октября, 2016 Здравствуйте! Получил письмо на почту, по спешке открыл, оказался Da Vinci code. Посмотрел на форуме и воспользовался программой Farbar Recovery Scan Tool . Прикрепляю отчеты, помогите пожалуйста Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 19 октября, 2016 Share Опубликовано 19 октября, 2016 Здравствуйте! Посмотрел на форуме и воспользовался программойПосмотрите еще Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Андрей Чернышев Опубликовано 19 октября, 2016 Автор Share Опубликовано 19 октября, 2016 Здравствуйте! Посмотрел на форуме и воспользовался программойПосмотрите еще Порядок оформления запроса о помощи все сделал, проверял уже антивирусом kaspersky, находил трояны но ничего не изменилось. файлы логов прикрепляю CollectionLog-2016.10.19-16.20.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 19 октября, 2016 Share Опубликовано 19 октября, 2016 Через Панель управления - Удаление программ - удалите нежелательное ПО: > Chrome Search AnySend qksee SmartAdverts for Google Chrome™ SocialAdverts for Google Chrome™ SpaceSoundPro Time tasks WinZip YAC(Yet Another Cleaner!) Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\acer\appdata\local\temp\{e50ab79b-2a83-4300-b0b1-a10eabe48f0f}\{fe72c5cd-ae7f-4afc-9201-70a437a47577}.exe'); QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\users\acer\appdata\local\microsoft\extensions', '*', true, '', 0 ,0); QuarantineFile('c:\users\acer\appdata\local\temp\{e50ab79b-2a83-4300-b0b1-a10eabe48f0f}\{fe72c5cd-ae7f-4afc-9201-70a437a47577}.exe', ''); QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\{9C2354AC-3BA9-432D-B9E8-859CCE449C30}\0.8', ''); QuarantineFile('C:\Users\ACER\AppData\Local\Kometa\Application\kometa.bat', ''); QuarantineFile('C:\Users\ACER\AppData\Roaming\XWDFSQ.exe', ''); QuarantineFile('C:\Users\ACER\AppData\Roaming\ZP.exe', ''); QuarantineFile('C:\Users\ACER\AppData\Local\Microsoft\Extensions\safebrowser.exe', ''); QuarantineFile('C:\Users\ACER\AppData\Local\Temp\is-ELH1S.tmp\downloader.exe', ''); DeleteFile('C:\Windows\Tasks\XWDFSQ.job', '64'); DeleteFile('C:\Windows\Tasks\ZP.job', '64'); ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{EFC356F1-94C4-44F6-8D79-D0B35038DB76}" /F', 0, 15000, true); DeleteFile('c:\users\acer\appdata\local\temp\{e50ab79b-2a83-4300-b0b1-a10eabe48f0f}\{fe72c5cd-ae7f-4afc-9201-70a437a47577}.exe', '32'); DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe', '32'); DeleteFile('C:\Program Files (x86)\Common Files\{9C2354AC-3BA9-432D-B9E8-859CCE449C30}\0.8', '32'); DeleteFile('C:\Users\ACER\AppData\Local\Kometa\Application\kometa.bat', '32'); DeleteFile('C:\Users\ACER\AppData\Roaming\XWDFSQ.exe', '32'); DeleteFile('C:\Users\ACER\AppData\Roaming\ZP.exe', '32'); DeleteFile('C:\Users\ACER\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32'); DeleteFile('C:\Users\ACER\AppData\Local\Temp\is-ELH1S.tmp\downloader.exe', '32'); DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true); DeleteFileMask('c:\users\acer\appdata\local\microsoft\extensions', '*', true); DeleteDirectory('c:\program files (x86)\kinoroom browser'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Application Restart #0'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Application Restart #2','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qnfuuxcrqz','command'); ExecuteSysClean; ExecuteRepair(1); ExecuteRepair(13); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Андрей Чернышев Опубликовано 19 октября, 2016 Автор Share Опубликовано 19 октября, 2016 я отправил quarantine.zip, пришло сообщение что получен набор неизвестных файлов, которые будут переданы в лабораторию отчет прикрепляю я отсылал 2 раза и 2 номера KLAN KLAN-5205781581 KLAN-5207366330 le,Rh-SSwT36TCSNKdk8YihEJ9AAEwqsP-zAACycDYVHgA=.0603702233A90ECA4B70.da_vinci_code,updverПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию ClearLNK-19.10.2016_21-01.log CollectionLog-2016.10.19-21.23.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 20 октября, 2016 Share Опубликовано 20 октября, 2016 Через Панель управления - Удаление программ - удалите нежелательное ПО: > Chrome Search SmartAdverts for Google Chrome™ SocialAdverts for Google Chrome™ SVH Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); TerminateProcessByName('c:\programdata\zootony\zootony.exe'); TerminateProcessByName('c:\programdata\setmike\setmike.exe'); TerminateProcessByName('c:\programdata\outlose\outlose.exe'); QuarantineFile('C:\Program Files\sound+\idscservice.exe',''); QuarantineFile('c:\programdata\zootony\zootony.exe',''); QuarantineFile('c:\programdata\setmike\setmike.exe',''); QuarantineFile('c:\programdata\outlose\outlose.exe',''); QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', ''); DeleteFile('c:\programdata\outlose\outlose.exe','32'); DeleteFile('c:\programdata\setmike\setmike.exe','32'); DeleteFile('c:\programdata\zootony\zootony.exe','32'); DeleteFile('C:\Program Files\sound+\idscservice.exe','32'); DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32'); DeleteFileMask('c:\program files\spacesoundpro', '*', true); DeleteDirectory('c:\program files\spacesoundpro'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Application Restart #2','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qnfuuxcrqz','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Андрей Чернышев Опубликовано 20 октября, 2016 Автор Share Опубликовано 20 октября, 2016 Через Панель управления - Удаление программ - удалите нежелательное ПО: > Chrome Search SmartAdverts for Google Chrome™ SocialAdverts for Google Chrome™ SVH Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); TerminateProcessByName('c:\programdata\zootony\zootony.exe'); TerminateProcessByName('c:\programdata\setmike\setmike.exe'); TerminateProcessByName('c:\programdata\outlose\outlose.exe'); QuarantineFile('C:\Program Files\sound+\idscservice.exe',''); QuarantineFile('c:\programdata\zootony\zootony.exe',''); QuarantineFile('c:\programdata\setmike\setmike.exe',''); QuarantineFile('c:\programdata\outlose\outlose.exe',''); QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', ''); DeleteFile('c:\programdata\outlose\outlose.exe','32'); DeleteFile('c:\programdata\setmike\setmike.exe','32'); DeleteFile('c:\programdata\zootony\zootony.exe','32'); DeleteFile('C:\Program Files\sound+\idscservice.exe','32'); DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32'); DeleteFileMask('c:\program files\spacesoundpro', '*', true); DeleteDirectory('c:\program files\spacesoundpro'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Application Restart #2','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qnfuuxcrqz','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. KLAN-5210460607 Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. idscservice.exe, zootony.exe, setmike.exe, outlose.exe Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию. нежелательное ПО > Chrome Search, SmartAdverts for Google Chrome™, SocialAdverts for Google Chrome™ не удаляются. Они у меня висят уже очень давно, и когда удаляю пишет либо что не удается найти указанный путь либо просто ошибка AdwCleanerS0.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 20 октября, 2016 Share Опубликовано 20 октября, 2016 1. Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Андрей Чернышев Опубликовано 20 октября, 2016 Автор Share Опубликовано 20 октября, 2016 все сделал, отчеты прикрепляю AdwCleanerC0.txt Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 20 октября, 2016 Share Опубликовано 20 октября, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKLM-x32\...\Run: [gmsd_ru_100] => [X] HKLM-x32\...\Run: [gmsd_ru_005010226] => [X] HKLM-x32\...\Run: [rec_en_77] => [X] BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File CHR Extension: (Стартовая — Яндекс) - C:\Users\ACER\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkekdlkmdpipihonapoleopfekmapadh [2016-05-21] CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\ACER\AppData\Local\Google\Chrome\User Data\Default\Extensions\iflppbjnpneiigcbdfjpnkebidmkjmoi [2016-08-26] CHR Extension: (Яндекс) - C:\Users\ACER\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp [2016-05-21] CHR Profile: C:\Users\ACER\AppData\Local\Google\Chrome\User Data\DFLTUSER [2016-10-18] <==== ATTENTION 2016-10-18 17:17 - 2016-10-18 19:17 - 00000000 __SHD C:\Users\Все пользователи\Csrss 2016-10-18 17:17 - 2016-10-18 19:17 - 00000000 __SHD C:\ProgramData\Csrss 2016-10-18 17:17 - 2016-10-18 17:17 - 03148854 _____ C:\Users\ACER\AppData\Roaming\F6A87F7AF6A87F7A.bmp 2016-10-18 17:17 - 2016-10-18 17:17 - 00004178 _____ C:\Users\ACER\Desktop\README9.txt 2016-10-18 17:17 - 2016-10-18 17:17 - 00004178 _____ C:\Users\ACER\Desktop\README8.txt 2016-10-18 17:17 - 2016-10-18 17:17 - 00004178 _____ C:\Users\ACER\Desktop\README7.txt 2016-10-18 17:17 - 2016-10-18 17:17 - 00004178 _____ C:\Users\ACER\Desktop\README6.txt 2016-10-18 17:17 - 2016-10-18 17:17 - 00004178 _____ C:\Users\ACER\Desktop\README5.txt 2016-10-18 17:17 - 2016-10-18 17:17 - 00004178 _____ C:\Users\ACER\Desktop\README4.txt 2016-10-18 17:17 - 2016-10-18 17:17 - 00004178 _____ C:\Users\ACER\Desktop\README3.txt 2016-10-18 17:17 - 2016-10-18 17:17 - 00004178 _____ C:\Users\ACER\Desktop\README2.txt 2016-10-18 17:17 - 2016-10-18 17:17 - 00004178 _____ C:\Users\ACER\Desktop\README10.txt 2016-10-18 17:17 - 2016-10-18 17:17 - 00004178 _____ C:\Users\ACER\Desktop\README1.txt C:\Users\ACER\AppData\Local\Temp\DA38.exe Task: {02DBFDD7-57CE-4688-B2FB-4F7599B0D3F5} - \1f1beda2-48aa-4a43-9416-81100d3bc733-1 -> No File <==== ATTENTION Task: {1B44BF70-27F1-4174-9687-E22EDBF1D849} - \1f1beda2-48aa-4a43-9416-81100d3bc733-3 -> No File <==== ATTENTION Task: {36F54B01-658A-42A6-B19F-6FBA84C03E19} - \1f1beda2-48aa-4a43-9416-81100d3bc733-4 -> No File <==== ATTENTION Task: {4AE946CA-C51B-4DF1-9D3F-D8153A8225BF} - \1f1beda2-48aa-4a43-9416-81100d3bc733-5 -> No File <==== ATTENTION Task: {846929DC-EC4D-49DF-908C-8008B11CEBF8} - \1f1beda2-48aa-4a43-9416-81100d3bc733-2 -> No File <==== ATTENTION Task: {EF0BA8CB-4679-43CA-A233-A86F253B65D1} - \1f1beda2-48aa-4a43-9416-81100d3bc733-7 -> No File <==== ATTENTION Task: {F5E8BDB8-8F9F-4088-9691-0CB309E26CD0} - \1f1beda2-48aa-4a43-9416-81100d3bc733-11 -> No File <==== ATTENTION Task: C:\Windows\Tasks\1f1beda2-48aa-4a43-9416-81100d3bc733-1.job => C:\Program Files (x86)\CinemaPro-1.5cV26.12\CinemaPro-1.5cV26.12-codedownloader.exe <==== ATTENTION Task: C:\Windows\Tasks\1f1beda2-48aa-4a43-9416-81100d3bc733-11.job => C:\Program Files (x86)\CinemaPro-1.5cV26.12\1f1beda2-48aa-4a43-9416-81100d3bc733-11.exe <==== ATTENTION Task: C:\Windows\Tasks\1f1beda2-48aa-4a43-9416-81100d3bc733-2.job => C:\Program Files (x86)\CinemaPro-1.5cV26.12\1f1beda2-48aa-4a43-9416-81100d3bc733-2.exe <==== ATTENTION Task: C:\Windows\Tasks\1f1beda2-48aa-4a43-9416-81100d3bc733-3.job => C:\Program Files (x86)\CinemaPro-1.5cV26.12\1f1beda2-48aa-4a43-9416-81100d3bc733-3.exe <==== ATTENTION Task: C:\Windows\Tasks\1f1beda2-48aa-4a43-9416-81100d3bc733-4.job => C:\Program Files (x86)\CinemaPro-1.5cV26.12\1f1beda2-48aa-4a43-9416-81100d3bc733-4.exe <==== ATTENTION Task: C:\Windows\Tasks\1f1beda2-48aa-4a43-9416-81100d3bc733-5.job => C:\Program Files (x86)\CinemaPro-1.5cV26.12\1f1beda2-48aa-4a43-9416-81100d3bc733-5.exe <==== ATTENTION Task: C:\Windows\Tasks\1f1beda2-48aa-4a43-9416-81100d3bc733-5_user.job => C:\Program Files (x86)\CinemaPro-1.5cV26.12\1f1beda2-48aa-4a43-9416-81100d3bc733-5.exe <==== ATTENTION Task: C:\Windows\Tasks\1f1beda2-48aa-4a43-9416-81100d3bc733-7.job => C:\Program Files (x86)\CinemaPro-1.5cV26.12\1f1beda2-48aa-4a43-9416-81100d3bc733-7.exe <==== ATTENTION HKU\S-1-5-21-3963806118-3298237929-1305856918-1000\Software\Classes\.scr: scrfile => <===== ATTENTION MSCONFIG\startupreg: qnfuuxcrqz => cmd /c start http://simsimotkroysia.ru/ FirewallRules: [mediaget-tcp] => (Allow) C:\Users\ACER\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [mediaget-udp] => (Allow) C:\Users\ACER\AppData\Local\MediaGet2\mediaget.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Андрей Чернышев Опубликовано 20 октября, 2016 Автор Share Опубликовано 20 октября, 2016 все сделал Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 20 октября, 2016 Share Опубликовано 20 октября, 2016 При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти