Перейти к содержанию
Правила раздела

Некорректная работа Chrome, наличие вирусных процессов

S-COM

Автор S-COM
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

S-COM

S-COM

Опубликовано
Опубликовано

Добрый день. После попытки скачать архив из сети, начались проблемы с браузером. При вводе поискового запроса происходит переадресация через ресурс search-engine.ru на go.mail.ru. Плюс периодически выскакивает какая-то реклама в отдельном окне. Также обнаружил неизвестные процессы в диспетчере задач. Например: gplyra.exe, searchindexer.exe, pythonw.exe, Service.WinServiceHost.exe, CppWindowsService.exe, SearchProtocolHost.exe, SearchFilterHost.exe, certutil.exe, PFHttpContentFilter.exe. Вроде все перечислил. В общем весь на виду, судя по всему. Логи прилагаю. Заранее благодарен за помощь!

CollectionLog-2016.11.13-20.54.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Kaspersky Internet Security 2010 [2016/11/12 17:16:55]-->MsiExec.exe /I{9D8B0949-7C47-476F-9F06-F900D3B078EA}

Не стыдно сидеть с таким древним антивирусом? 

 

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 DeleteService('Windows');
 StopService('CppWindowsService');
 DeleteService('CppWindowsService');
 TerminateProcessByName('c:\users\s-com\appdata\roaming\t\system.exe');
 TerminateProcessByName('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe');
 TerminateProcessByName('C:\Users\S-COM\AppData\Roaming\gplyra\gplyra\gplyra.exe');
 TerminateProcessByName('c:\program files (x86)\filter\2\cppwindowsservice.exe');
 DeleteFile('c:\program files (x86)\filter\2\cppwindowsservice.exe','32');
 DeleteFile('C:\Users\S-COM\AppData\Roaming\gplyra\gplyra\gplyra.exe','32');
 DeleteFile('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe','32');
 DeleteFile('c:\users\s-com\appdata\roaming\t\system.exe','32');
 DeleteFile('C:\Program Files (x86)\filter\2\CppWindowsService.exe','32');
 DeleteFile('C:\Windows\svchost.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system');
 DeleteFile('C:\Users\S-COM\AppData\Roaming\gplyra\gplyra\start.cmd','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gplyra');
 DeleteFile('C:\Users\S-COM\appdata\local\temp\new-super-ext.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 

 

  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты
S-COM

S-COM

Опубликовано
  • Автор
Опубликовано

 

Kaspersky Internet Security 2010 [2016/11/12 17:16:55]-->MsiExec.exe /I{9D8B0949-7C47-476F-9F06-F900D3B078EA}

Не стыдно сидеть с таким древним антивирусом? 

 

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 DeleteService('Windows');
 StopService('CppWindowsService');
 DeleteService('CppWindowsService');
 TerminateProcessByName('c:\users\s-com\appdata\roaming\t\system.exe');
 TerminateProcessByName('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe');
 TerminateProcessByName('C:\Users\S-COM\AppData\Roaming\gplyra\gplyra\gplyra.exe');
 TerminateProcessByName('c:\program files (x86)\filter\2\cppwindowsservice.exe');
 DeleteFile('c:\program files (x86)\filter\2\cppwindowsservice.exe','32');
 DeleteFile('C:\Users\S-COM\AppData\Roaming\gplyra\gplyra\gplyra.exe','32');
 DeleteFile('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe','32');
 DeleteFile('c:\users\s-com\appdata\roaming\t\system.exe','32');
 DeleteFile('C:\Program Files (x86)\filter\2\CppWindowsService.exe','32');
 DeleteFile('C:\Windows\svchost.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system');
 DeleteFile('C:\Users\S-COM\AppData\Roaming\gplyra\gplyra\start.cmd','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gplyra');
 DeleteFile('C:\Users\S-COM\appdata\local\temp\new-super-ext.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 

 

  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Да как-то забил, видимо. Не могу даже назвать причину. Стыдно, наверное. Благодарю за то, что обратили внимание.

Немного дописал скрипт:

 

begin
 DeleteService('Windows');
 StopService('CppWindowsService');
 DeleteService('CppWindowsService');
 TerminateProcessByName('c:\users\s-com\appdata\roaming\t\system.exe');
 TerminateProcessByName('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe');
 TerminateProcessByName('C:\Users\S-COM\AppData\Roaming\gplyra\gplyra\gplyra.exe');
 TerminateProcessByName('c:\program files (x86)\filter\2\cppwindowsservice.exe');
 TerminateProcessByName('C:\Users\S-COM\AppData\Roaming\PBot\python\pythonw.exe');
 TerminateProcessByName('C:\Program Files (x86)\AdBlocker\Service.WinServiceHost.exe');
 TerminateProcessByName('C:\Windows\System32\SearchFilterHost.exe');
 TerminateProcessByName('C:\Windows\System32\SearchIndexer.exe');
 DeleteFile('C:\Windows\System32\SearchFilterHost.exe','32');
 DeleteFile('C:\Windows\System32\SearchIndexer.exe','32');
 DeleteFile('C:\Program Files (x86)\AdBlocker\Service.WinServiceHost.exe','32');
 DeleteFile('c:\program files (x86)\filter\2\cppwindowsservice.exe','32');
 DeleteFile('C:\Users\S-COM\AppData\Roaming\gplyra\gplyra\gplyra.exe','32');
 DeleteFile('c:\program files (x86)\filter\2\pfhttpcontentfilter.exe','32');
 DeleteFile('c:\users\s-com\appdata\roaming\t\system.exe','32');
 DeleteFile('C:\Program Files (x86)\filter\2\CppWindowsService.exe','32');
 DeleteFile('C:\Users\S-COM\AppData\Roaming\PBot\python\pythonw.exe');
 DeleteFile('C:\Windows\svchost.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','system');
 DeleteFile('C:\Users\S-COM\AppData\Roaming\gplyra\gplyra\start.cmd','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gplyra');
 DeleteFile('C:\Users\S-COM\appdata\local\temp\new-super-ext.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
т.к. после первого проблема с браузером осталась. После второго проблема вроде исчезла.
 
Логи прилагаю, спасибо!

AdwCleanerS2.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

 

Немного дописал скрипт:

 

Значит так уважаемый: либо вы выполняете все в точности как я пишу и сами ничего НЕ МЕНЯЕТЕ, либо несите свой комп в сервис, а я не буду тратить на вас свое время. Я доступно говорю?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Mazahis666
      Подозреваю наличие вирусов и вредоносного ПО.
      Автор Mazahis666
      При использовании Пк периодически гаснет монитор на несколько секунд, стал вылетать браузер-игры-приложения без обьяснения причин. Пк постоянно загружен на 50 и более процентов при использовании браузера, есть подозрения чт подхватил вирус при установке виндоус или каких либо программ. Почитал темы на форуме, ничего не понятно... И да пк достаточно нормальный по характеристикам. Винда 11 прошка лиц.
    • Viacheslau T
      [РЕШЕНО] Наличие вируса/автозагрузка майнера на компьютере.
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • Краб
      Google Chrome
      Автор Краб
      Заметил что у каждого браузера есть своя тема, а у Chrome нету.
      Обсуждаем тут
       
    • Nikita Paramonov
      [РЕШЕНО] Вирусный CAAService - Spyware.RedLineStealer
      Автор Nikita Paramonov
      Windows Defender обнаружил вирус CAAService (C:\ProgramData\CAAService\CAAService.exe), другой антивирус распознал это как Spyware.RedLineStealer.
      Я уже удалял его, он появился опять, хотелось бы максимально защититься от его выполнения и понять, что его создаёт, помогите, пожалуйста.
       
      Обычно вновь появляется при перезагрузке системы, в автозапуске подозрительного не нашел, разве что какой-то "LM", его отключил.
    • 26alexx
      [РЕШЕНО] Наличие вируса/майнера на компьютере.
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
×
×
  • Создать...