Станислав Толубаев 0 Опубликовано 29 апреля, 2019 Share Опубликовано 29 апреля, 2019 (изменено) CollectionLog-2019.04.29-18.15.zipУстановил не так давно AcrStream футбол смотреть Футбол работает, но при каждом запуске AceStream возникает окно в гуглхроме с предложением не смотреть рекламу Комп начал притормаживать, полез смотреть что есть хорошего в task manager Нашел запущенный процесс setup.exe из вышеуказанной папки windows/syswow64/installshield Убивается и возникает снова Выяснилось, что любой браузер вешается при попытке загрузить антивирусную программу Также выяснилось, что антивирусные программы не запускаются не в безопасном режиме На данный момент adw remover удалил более шестидесяти угроз из безопасного режима Вслед за ним Emergency Kit Scanner от Emisoft тоже нашел семь троянов Но ситуация не изменилась - браузеры вешаются, сетап в памяти (из 70кб разворачивается на 70Мб) Запустил KVRT и ужаснулся - он вычистил около 1500 троянов miner.gen Помогите избавиться от напасти если она еще осталась. И как заткнуть дырки откуда она прет? Win7 Enterprise Edition Изменено 29 апреля, 2019 пользователем Станислав Толубаев Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 апреля, 2019 Share Опубликовано 29 апреля, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Станислав Толубаев 0 Опубликовано 29 апреля, 2019 Автор Share Опубликовано 29 апреля, 2019 Готово FRST.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 апреля, 2019 Share Опубликовано 29 апреля, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: Task: {E2DE8424-51E1-4D7E-9834-52426F4F5D73} - \{E2C19523-3B30-58E3-C944-EB7B999CD620} -> No File <==== ATTENTION Task: {FD45FE86-C6D2-4E94-881E-3857959E0E01} - \{A4CF9521-6E17-C35B-D4E5-03456B6AAD08} -> No File <==== ATTENTION Tcpip\..\Interfaces\{61163EB4-C04E-4EC3-B21F-5560EE8B3F73}: [NameServer] 95.216.188.196 1601-01-03 21:26 - 1601-01-03 21:26 - 000073216 ____N (Microsoft Corporation) C:\Users\tSteve\AppData\Roaming\ekhJJlMgS.exe Tcpip\..\Interfaces\{762B0A8D-294C-4E3C-9621-4452C308F048}: [NameServer] 95.216.188.196 Tcpip\..\Interfaces\{886C924D-67F4-4225-922A-6AB4103A55A1}: [NameServer] 95.216.188.196 1601-01-03 21:26 - 1601-01-03 21:26 - 000186368 ____N (Microsoft Corporation) C:\Users\tSteve\SSsO.exe MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk => C:\Windows\pss\Zaxar Games Browser.lnk.CommonStartup MSCONFIG\startupreg: 375L7OD1NUGEVK9 => "C:\Program Files\1EI1MR6SM1\E3PGUQCTL.exe" MSCONFIG\startupreg: 4814352 => "C:\Users\tSteve\AppData\Roaming\w1ofnxxyrrl\33isdlld3ru.exe" /VERYSILENT MSCONFIG\startupreg: 571234 => "C:\Users\tSteve\AppData\Roaming\gfpmn1yrr2u\ku0rnjkd01u.exe" /VERYSILENT MSCONFIG\startupreg: 5932871 => "C:\Users\tSteve\AppData\Roaming\f1f02etallp\lc5kdzaetq1.exe" /VERYSILENT MSCONFIG\startupreg: 59DH4V9E4QO3CV3 => "C:\Program Files (x86)\hl3cuarj0tb\FNS3R.exe" MSCONFIG\startupreg: 7778246 => "C:\Users\tSteve\AppData\Roaming\dvsk5m2h0wz\amqdx4lgz2f.exe" /VERYSILENT MSCONFIG\startupreg: 8528816 => "C:\Users\tSteve\AppData\Roaming\f55kq4itdgp\pqzclqnpysr.exe" /VERYSILENT MSCONFIG\startupreg: AceStream => C:\Users\tSteve\AppData\Roaming\ACEStream\engine\ace_engine.exe MSCONFIG\startupreg: S9ZAGL1ZEZGMG3V => "C:\Program Files\GSP3459GPW\5NFZKK2AU.exe" MSCONFIG\startupreg: SVS3IRJBKR40MMH => "C:\Program Files\X05CN88QEK\APBRV7ERD.exe" MSCONFIG\startupreg: VDDDY7U182G1YKO => "C:\Program Files\LXO12OBWFM\PIE3ITF12.exe" MSCONFIG\startupreg: Z1VVMA6XEAI0BSA => "C:\Program Files\GNY3Q3YNTV\GNY3Q3YNT.exe" AlternateDataStreams: C:\Windows:nlsPreferences [0] AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [286] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [136] Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
Станислав Толубаев 0 Опубликовано 29 апреля, 2019 Автор Share Опубликовано 29 апреля, 2019 Сделал Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 апреля, 2019 Share Опубликовано 29 апреля, 2019 Мусор почистили. Что с проблемой? Ссылка на сообщение Поделиться на другие сайты
Станислав Толубаев 0 Опубликовано 29 апреля, 2019 Автор Share Опубликовано 29 апреля, 2019 Мусор почистили. Что с проблемой? Чрезмерного роста пожирания памяти сторонними программами больше нет. Гугл хром не считается. Тормозить прекратил комп. Ну то есть в пределах разумного. Надо ли удалять что то из ПО, которое помогло удалить всю дрянь? AceStream пропал с компа напрочь. Эта программа в принципе сам по себе троян или с ее помощью можно вот так влезть на комп извне? Или я просто умудрился скачать ее с трояном, а в принципе она приличная? Погуглил, мнения 50 на 50. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 апреля, 2019 Share Опубликовано 29 апреля, 2019 Рекламу крутит по полной. Так что мы не рекомендуем ее наличие на компьютере. Утилиты лечения можете удалить. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Станислав Толубаев 0 Опубликовано 29 апреля, 2019 Автор Share Опубликовано 29 апреля, 2019 SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 30.04.2019 00:22:54 Path starting: C:\Users\tSteve\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: tSteve VersionXML: 6.31is-27.04.2019 ___________________________________________________________________________ Windows 7(6.1.7601) Service Pack 1 (x64) Enterprise Lang: English(0409) Installation date OS: 05.01.2014 04:43:04 LicenseStatus: Windows® 7, Enterprise edition Windows is in Notification mode Boot Mode: Normal Default Browser: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe SystemDrive: C: FS: [NTFS] Capacity: [465.7 Gb] Used: [335.4 Gb] Free: [130.3 Gb] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.18665 Warning! Download Update Online installation. Last version available when Windows update is enabled throught the Internet. User Account Control enabled (Level 3) Notify before download Date install updates: 2017-05-31 16:35:33 Windows Update (wuauserv) - The service is running Security Center (wscsvc) - The service is running Remote Registry (RemoteRegistry) - The service has stopped SSDP Discovery (SSDPSRV) - The service is running Remote Desktop Services (TermService) - The service has stopped Windows Remote Management (WS-Management) (WinRM) - The service has stopped --------------------------- [ FirewallWindows ] --------------------------- Windows Firewall (MpsSvc) - The service is running Disabled the public profile of Windows Firewall Disabled the standard profile for Windows Firewall --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (enabled and out of date) --------------------------- [ OtherUtilities ] ---------------------------- Microsoft .NET Framework 4.6.1 v.4.6.01055 Warning! Download Update Steam v.2.10.91.91 TeamViewer 12 v.12.0.95388 Warning! Download Update VLC media player v.3.0.6 WinSCP 5.5.1 v.5.5.1 Warning! Download Update OpenOffice 4.1.2 v.4.12.9782 Warning! Download Update TeamViewer 12 (TeamViewer) - The service has stopped -------------------------------- [ ARCH ] --------------------------------- 7-Zip 9.20 Warning! This software is no longer supported. Uninstall old version, download and install new one. --------------------------------- [ IM ] ---------------------------------- Viber v.6.9.0.1048 Warning! Download Update ^Optional update.^ Skype™ 7.40 v.7.40.103 Warning! Download Update --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.45146 Warning! P2P-client. -------------------------------- [ Java ] --------------------------------- Java 6 Update 32 v.6.0.320 Warning! This software is no longer supported. Please uninstall it and use Java SE 8 (jre-8u211-windows-i586.exe). Java 8 Update 31 v.8.0.310 Warning! Download Update Uninstall old version and install new one (jre-8u211-windows-i586.exe). --------------------------- [ AppleProduction ] --------------------------- iCloud v.7.7.0.27 iTunes v.12.9.0.167 Warning! Download Update ^Please use Apple Software Update tool.^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 32 NPAPI v.32.0.0.171 Adobe Shockwave Player 12.0 v.12.0.7.148 Warning! This software is no longer supported. Please uninstall it. swMSM v.12.0.0.1 << Hidden Warning! This software is no longer supported. Please uninstall it. Adobe Acrobat Reader DC - Russian v.19.010.20099 ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 66.0.3 (x64 ru) v.66.0.3 Google Chrome v.74.0.3729.108 ------------------ [ AntivirusFirewallProcessServices ] ------------------- Windows Defender (WinDefend) - The service is running ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering. eweew3grthrtvew Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!! ----------------------------- [ End of Log ] ------------------------------ Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 апреля, 2019 Share Опубликовано 29 апреля, 2019 Выполните рекомендованное, и на этом закончим Ссылка на сообщение Поделиться на другие сайты
Станислав Толубаев 0 Опубликовано 30 апреля, 2019 Автор Share Опубликовано 30 апреля, 2019 (изменено) swMSM v.12.0.0.1 << Hidden Warning! This software is no longer supported. Please uninstall it. Как спрятанное деинсталлировать? Спасибо Изменено 30 апреля, 2019 пользователем Станислав Толубаев Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 30 апреля, 2019 Share Опубликовано 30 апреля, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.Пробуйте теперь удалять. Ссылка на сообщение Поделиться на другие сайты
Станислав Толубаев 0 Опубликовано 30 апреля, 2019 Автор Share Опубликовано 30 апреля, 2019 Пробуйте теперь удалять. Так вопрос в том, что его нету в списке программ установленных Ссылка на сообщение Поделиться на другие сайты
Станислав Толубаев 0 Опубликовано 30 апреля, 2019 Автор Share Опубликовано 30 апреля, 2019 Осознал свою ошибку, убил, спасибо Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 18 мая, 2019 Share Опубликовано 18 мая, 2019 Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения