ПК стал хуже работать, баннеры на рабочем столе.

[Dmitry234367]

Добрый день, у пк достаточно мощный, но в последнее время стал замечать, что он стал дольше грузиться и подтормаживать, а сегодня так вообще стала появляться реклама в виде банер (китайская игра вроде) в правом нижнем углу вылезла. Прошу помочь, заранее спасибо!

CollectionLog-2017.10.31-17.58.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

DriverPack Cloud

Kerish Doctor

Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('smssSvc');
 QuarantineFile('C:\Users\dmitr\AppData\Roaming\smss.exe', '');
 DeleteFile('C:\Users\dmitr\AppData\Roaming\smss.exe', '32');
 DeleteService('smssSvc');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Dmitry234367]

[KLAN-7069871037]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
smss.exe - UDS:DangerousObject.Multi.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

--------------------------------------------------------------------------------

Sent: 10/31/2017 11:26:00 AM
To: newvirus@kaspersky.com
Subject: quarantine.zip

[Sandor]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ждем.

[Dmitry234367]

Не заметил

CollectionLog-2017.10.31-18.39.zip

report1.log

report2.log

[Sandor]

О программе удаленного управления - C:\Users\dmitr\desktop\aa_v3.exe - Вам известно?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Dmitry234367]

Да, известно. Программа для удаленного доступа к пк, иногда использую ее

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
  GroupPolicy: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  2017-10-31 16:04 - 2017-10-31 16:04 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignae26c41934725af3
  2017-10-31 16:00 - 2017-10-31 16:00 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign0fd4c334074f6c94
  2017-10-31 15:59 - 2017-10-31 15:59 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignf8bcf22a5b154165
  2017-10-31 15:59 - 2017-10-31 15:59 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignaa768dc6c59a736a
  2017-10-31 15:59 - 2017-10-31 15:59 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign7d8660baf9bb9020
  2017-10-30 18:12 - 2017-10-30 18:12 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignc42386f99b8b9a90
  2017-10-30 18:12 - 2017-10-30 18:12 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign3c9bf05f07aa9c81
  2017-10-30 18:12 - 2017-10-30 18:12 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign3646494b80c50970
  2017-10-30 15:30 - 2017-10-30 15:30 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsigncb38d95bbaf3b7ec
  2017-10-30 15:30 - 2017-10-30 15:30 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign6afcf2df2400cb18
  2017-10-30 15:30 - 2017-10-30 15:30 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign2f738686722d1439
  2017-10-29 21:23 - 2017-10-29 21:23 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignb0fd9b7532efb3a0
  2017-10-29 21:21 - 2017-10-29 21:21 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign8725a3ce95881d14
  2017-10-29 21:21 - 2017-10-29 21:21 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign437c8868552dede2
  2017-10-29 21:21 - 2017-10-29 21:21 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign0290723eda1b953c
  2017-10-29 02:06 - 2017-10-29 02:06 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignf29ae2a92e447504
  2017-10-29 02:06 - 2017-10-29 02:06 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignca402a93a47a7bb5
  2017-10-29 02:06 - 2017-10-29 02:06 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignae0f1d623f118bee
  2017-10-29 02:06 - 2017-10-29 02:06 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign4a55c85096c0df67
  2017-10-28 19:16 - 2017-10-28 19:16 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignf0098e2ea416382a
  2017-10-28 19:16 - 2017-10-28 19:16 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsigna1ba66fef4a395e3
  2017-10-28 19:16 - 2017-10-28 19:16 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign0dbba46493c99d5c
  2017-10-27 15:28 - 2017-10-27 15:28 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignede6863f40fcc094
  2017-10-27 15:28 - 2017-10-27 15:28 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignd1a77aaad905f45b
  2017-10-27 15:28 - 2017-10-27 15:28 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign792cd0ab0eca5d44
  2017-10-10 15:39 - 2017-10-10 15:39 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign920184e9a3bebc84
  2017-10-10 15:39 - 2017-10-10 15:39 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign8d0e6061671b8081
  2017-10-10 15:39 - 2017-10-10 15:39 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign509904d069612da8
  2017-10-07 12:19 - 2017-10-07 12:19 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignb208c31c95f35cd9
  2017-10-07 12:19 - 2017-10-07 12:19 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsigna49a0ff9bdda66ef
  2017-10-07 12:19 - 2017-10-07 12:19 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign8e955199378e3b98
  2017-10-06 02:00 - 2017-10-06 02:00 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsigncd7b5abb9b8c3e92
  2017-10-06 02:00 - 2017-10-06 02:00 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignc80b080f5cc72156
  2017-10-06 02:00 - 2017-10-06 02:00 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign8ffee7eb220246ef
  2017-06-02 18:33 - 2017-06-02 18:33 - 001909760 _____ () C:\Users\dmitr\AppData\Roaming\svnhost.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Dmitry234367]

Fixlog.txt

[Sandor]

Сообщите что сейчас с проблемой.

[Dmitry234367]

Сообщите что сейчас с проблемой.

Скорее всего это будет видно со временем, пока банера не было, кстати, а что это было? 

[Sandor]

Вы ведь в 3-м сообщении процитировали ответ вирлаба

 

Внимательно проверьте расширения браузеров, все ли нужны. Лишние удалите.

 

Проделайте завершающие шаги (тема не закрывается):

1.

Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Dmitry234367]

 C:\FRST  не хочет удаляться    

SecurityCheck.txt

[Sandor]

C:\FRST  не хочет удаляться

После перезагрузки попробуйте удалить.

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.187.14393.0 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------------- [ P2P ] ---------------------------------

BitTorrent v.7.9.9.43296 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

µTorrent v.3.5.0.44090 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AppleProduction ] ---------------------------

iTunes v.12.6.1.25 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.61.0.3163.100 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

 

 

Рекомендации после удаления вредоносного ПО