Перейти к содержанию

ПК стал хуже работать, баннеры на рабочем столе.


Рекомендуемые сообщения

Добрый день, у пк достаточно мощный, но в последнее время стал замечать, что он стал дольше грузиться и подтормаживать, а сегодня так вообще стала появляться реклама в виде банер (китайская игра вроде) в правом нижнем углу вылезла. Прошу помочь, заранее спасибо!

CollectionLog-2017.10.31-17.58.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

DriverPack Cloud

Kerish Doctor

Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('smssSvc');
 QuarantineFile('C:\Users\dmitr\AppData\Roaming\smss.exe', '');
 DeleteFile('C:\Users\dmitr\AppData\Roaming\smss.exe', '32');
 DeleteService('smssSvc');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на сообщение
Поделиться на другие сайты

[KLAN-7069871037]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
smss.exe - UDS:DangerousObject.Multi.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

--------------------------------------------------------------------------------

Sent: 10/31/2017 11:26:00 AM
To: newvirus@kaspersky.com
Subject: quarantine.zip

Ссылка на сообщение
Поделиться на другие сайты

О программе удаленного управления - C:\Users\dmitr\desktop\aa_v3.exe - Вам известно?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    2017-10-31 16:04 - 2017-10-31 16:04 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignae26c41934725af3
    2017-10-31 16:00 - 2017-10-31 16:00 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign0fd4c334074f6c94
    2017-10-31 15:59 - 2017-10-31 15:59 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignf8bcf22a5b154165
    2017-10-31 15:59 - 2017-10-31 15:59 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignaa768dc6c59a736a
    2017-10-31 15:59 - 2017-10-31 15:59 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign7d8660baf9bb9020
    2017-10-30 18:12 - 2017-10-30 18:12 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignc42386f99b8b9a90
    2017-10-30 18:12 - 2017-10-30 18:12 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign3c9bf05f07aa9c81
    2017-10-30 18:12 - 2017-10-30 18:12 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign3646494b80c50970
    2017-10-30 15:30 - 2017-10-30 15:30 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsigncb38d95bbaf3b7ec
    2017-10-30 15:30 - 2017-10-30 15:30 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign6afcf2df2400cb18
    2017-10-30 15:30 - 2017-10-30 15:30 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign2f738686722d1439
    2017-10-29 21:23 - 2017-10-29 21:23 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignb0fd9b7532efb3a0
    2017-10-29 21:21 - 2017-10-29 21:21 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign8725a3ce95881d14
    2017-10-29 21:21 - 2017-10-29 21:21 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign437c8868552dede2
    2017-10-29 21:21 - 2017-10-29 21:21 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign0290723eda1b953c
    2017-10-29 02:06 - 2017-10-29 02:06 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignf29ae2a92e447504
    2017-10-29 02:06 - 2017-10-29 02:06 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignca402a93a47a7bb5
    2017-10-29 02:06 - 2017-10-29 02:06 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignae0f1d623f118bee
    2017-10-29 02:06 - 2017-10-29 02:06 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign4a55c85096c0df67
    2017-10-28 19:16 - 2017-10-28 19:16 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignf0098e2ea416382a
    2017-10-28 19:16 - 2017-10-28 19:16 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsigna1ba66fef4a395e3
    2017-10-28 19:16 - 2017-10-28 19:16 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign0dbba46493c99d5c
    2017-10-27 15:28 - 2017-10-27 15:28 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignede6863f40fcc094
    2017-10-27 15:28 - 2017-10-27 15:28 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignd1a77aaad905f45b
    2017-10-27 15:28 - 2017-10-27 15:28 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign792cd0ab0eca5d44
    2017-10-10 15:39 - 2017-10-10 15:39 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign920184e9a3bebc84
    2017-10-10 15:39 - 2017-10-10 15:39 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign8d0e6061671b8081
    2017-10-10 15:39 - 2017-10-10 15:39 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign509904d069612da8
    2017-10-07 12:19 - 2017-10-07 12:19 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignb208c31c95f35cd9
    2017-10-07 12:19 - 2017-10-07 12:19 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsigna49a0ff9bdda66ef
    2017-10-07 12:19 - 2017-10-07 12:19 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign8e955199378e3b98
    2017-10-06 02:00 - 2017-10-06 02:00 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsigncd7b5abb9b8c3e92
    2017-10-06 02:00 - 2017-10-06 02:00 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsignc80b080f5cc72156
    2017-10-06 02:00 - 2017-10-06 02:00 - 000000000 ____D C:\Users\dmitr\AppData\Local\Tempzxpsign8ffee7eb220246ef
    2017-06-02 18:33 - 2017-06-02 18:33 - 001909760 _____ () C:\Users\dmitr\AppData\Roaming\svnhost.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Сообщите что сейчас с проблемой.

Скорее всего это будет видно со временем, пока банера не было, кстати, а что это было? 

Ссылка на сообщение
Поделиться на другие сайты

Вы ведь в 3-м сообщении процитировали ответ вирлаба :)

 

Внимательно проверьте расширения браузеров, все ли нужны. Лишние удалите.

 

Проделайте завершающие шаги (тема не закрывается):

1.

Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

C:\FRST  не хочет удаляться

После перезагрузки попробуйте удалить.

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.187.14393.0 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------------- [ P2P ] ---------------------------------

BitTorrent v.7.9.9.43296 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

µTorrent v.3.5.0.44090 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AppleProduction ] ---------------------------

iTunes v.12.6.1.25 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.61.0.3163.100 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

 

 

Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...