Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.67/6: Рейтинг темы: голосов - 6, средняя оценка - 4.67
nightingal
0 / 0 / 0
Регистрация: 22.12.2015
Сообщений: 19
#1

Как избавится от Трояна Win32 Meredrop ?

03.01.2016, 14:42. Просмотров 1144. Ответов 21
Метки нет (Все метки)

помогите избавится от Трояна Win32 Meredrop. кратко начал грузить систему процесс svchost в инете объяснили битым видеофайлом , потом вышло окно предложением обновить видео плеер для первого канала я отказался. В этот момент полетели диски .когда вновь вышел в инет стали открываться самовольно всякие сайты. Windows-KB890830-V5.31 удалил PWS-Win32.LDPINCH ,а Трояна Win32 Meredrop удалить не смог. пошли самовольные установки прог Каспер убил сотни тварей и десяток троянов . авз востановил доступ в инет все было хорошо пока не стал обновлять MSEssentials началось обновление затем прога зависла и вышло модульное окно с предложением установить новый антивирус комп заблокировался выключить его смог только тумблером. выручайте видимо серьёзные " дядьки" взялись .
0
Вложения
Тип файла: zip CollectionLog-2016.01.03-14.55.zip (165.5 Кб, 2 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
03.01.2016, 14:42
Ответы с готовыми решениями:

Удалил трояна Backdoor.Win32.Bredolab.xun. Логи есть
Удалил трояна Backdoor.Win32.Bredolab.xun с помощью KIS 2012. Осталось ли что...

не могу избавится от вируса TR/Crypt.XPACK.Gen ( по номенклатуры Авира) или Win32:Trojan-gen (по номенклатуры Аваста)...
не могу избавится от вируса TR/Crypt.XPACK.Gen ( по номенклатуры Авира) или...

как удалить трояна.
Всем привет...у меня вот один из вот таких...

Как избавиться от трояна?
Выскакивает такое сообщение при открывании чего либо (диска, папки, файла) Nod...

Win32/SpyVoltare.A и win32/qhost как лечить?
Недавно нод начал писать про эти вирусы : Win32/SpyVoltare.A и win32/qhost...

21
thyrex
Вирусоборец
7316 / 4872 / 760
Регистрация: 06.09.2009
Сообщений: 19,513
03.01.2016, 17:27 #2
Content Defender
Form Balance
GamesDesktop
istartpageing uninstall
Movies Toolbar for Internet Explorer
MPC Cleaner
SmartWeb
SpaceSoundPro
SpaceSoundPro Service
Time tasks
YAC(Yet Another Cleaner!)
YouTube Accelerator
удалите через Установку программ

Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files\661859f9-1451311214-db11-bfd7-000ea68f75bc\hnsab4e.tmp');
 TerminateProcessByName('c:\program files\elex-tech\yac\isafetray.exe');
 TerminateProcessByName('c:\program files\661859f9-1451311214-db11-bfd7-000ea68f75bc\jnsff207.tmp');
 TerminateProcessByName('c:\program files\661859f9-1451311214-db11-bfd7-000ea68f75bc\knsdc66d.tmpfs');
 TerminateProcessByName('c:\program files\mpc cleaner\mpcanalysispdb.exe');
 TerminateProcessByName('c:\program files\mpc cleaner\mpcprotectservice.exe');
 TerminateProcessByName('c:\program files\mpc cleaner\mpctray.exe');
 TerminateProcessByName('c:\program files\spacesoundpro\spacesoundpro.exe');
 SetServiceStart('MPCKpt', 4);
 SetServiceStart('MPCBase', 4);
 SetServiceStart('iSafeNetFilter', 4);
 SetServiceStart('iSafeKrnlR3', 4);
 SetServiceStart('iSafeKrnlMon', 4);
 SetServiceStart('iSafeKrnlKit', 4);
 SetServiceStart('iSafeKrnl', 4);
 SetServiceStart('xyvexigu', 4);
 SetServiceStart('wucotusy', 4);
 SetServiceStart('MPCProtectService', 4);
 QuarantineFile('C:\Program Files\oursoft\oursoft.exe','');
 QuarantineFile('C:\Users\пк7\AppData\Roaming\oursurfing\UninstallManager.exe','');
 QuarantineFile('C:\PROGRA~1\YOUTUB~1\Updater.exe','');
 QuarantineFile('C:\Program Files\WordShark_1.10.0.17\Update\WordSharkAutoUpdateClient.exe','');
 QuarantineFile('C:\Program Files\ShopperPro\JSDriver\1.42.1.1987\jsdrv.exe','');
 QuarantineFile('C:\Users\пк7\AppData\Local\Hostinstaller\2483127566_monster.exe','');
 QuarantineFile('C:\Program Files\iWebar\6ed7a8f6-7fb0-4197-b220-c1fdc7290e31-11.exe','');
 QuarantineFile('C:\Program Files\Torrent Search\bWAeOsw.exe','');
 QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
 QuarantineFile('C:\PROGRA~1\MOVIES~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll','');
 QuarantineFile('C:\Users\пк7\AppData\Local\kdzPsKRVi\jfMxBxcSOJFx1.bat','');
 QuarantineFile('C:\ProgramData\ESSPWUIQ\WVEosFr5.bat','');
 QuarantineFile('C:\Program Files\YouTube Accelerator\YouTubeAccelerator.exe','');
 QuarantineFile('C:\Users\70878~1\AppData\Local\Temp\0a50e25a83046228c11dcaa7eeed09bb.exe','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','');
 QuarantineFile('C:\Users\пк7\AppData\Local\SmartWeb\SmartWebHelper.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\Windows\system32\drivers\wsfd_1_10_0_17.sys','');
 QuarantineFile('C:\Users\пк7\AppData\Local\661859F9-1451767441-DB11-BFD7-000EA68F75BC\qnsf7D0B.tmp','');
 QuarantineFile('C:\Users\пк7\AppData\Local\661859F9-1451329426-DB11-BFD7-000EA68F75BC\snswD5B8.tmp','');
 QuarantineFile('C:\Program Files\SFK\SSFK.exe','');
 QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','');
 QuarantineFile('C:\Windows\System32\drivers\MPCBase.sys','');
 QuarantineFile('C:\Users\пк7\AppData\Local\Form Balance\{537EECAA-CAA0-C184-994F-40B95AF4F93D}\{A8B7D493-E7E2-1FD0-9E50-0117FB4500BE}.dat','');
 QuarantineFile('C:\Users\пк7\AppData\Local\Form Balance\{537EECAA-CAA0-C184-994F-40B95AF4F93D}\wgj.dll','');
 QuarantineFile('C:\Users\пк7\AppData\Local\Form Balance\{537EECAA-CAA0-C184-994F-40B95AF4F93D}\FormBalance.dll','');
 QuarantineFile('C:\Program Files\MPC Cleaner\Update.dll','');
 QuarantineFile('C:\Program Files\MPC Cleaner\Cleaner.dll','');
 QuarantineFile('C:\Program Files\MPC Cleaner\BrowserPlugIn.dll','');
 QuarantineFile('C:\Program Files\MPC Cleaner\AndriodServer.dll','');
 QuarantineFile('C:\Program Files\MPC Cleaner\AdbWinUsbApi.dll','');
 QuarantineFile('C:\Program Files\MPC Cleaner\AdbWinApi.DLL','');
 QuarantineFile('c:\program files\spacesoundpro\spacesoundpro.exe','');
 QuarantineFile('c:\program files\mpc cleaner\mpctray.exe','');
 QuarantineFile('c:\program files\mpc cleaner\mpcanalysispdb.exe','');
 QuarantineFile('c:\program files\mpc cleaner\mpcprotectservice.exe','');
 QuarantineFile('c:\program files\661859f9-1451311214-db11-bfd7-000ea68f75bc\knsdc66d.tmpfs','');
 QuarantineFile('c:\program files\661859f9-1451311214-db11-bfd7-000ea68f75bc\jnsff207.tmp','');
 QuarantineFile('c:\program files\661859f9-1451311214-db11-bfd7-000ea68f75bc\hnsab4e.tmp','');
 DeleteFile('c:\program files\661859f9-1451311214-db11-bfd7-000ea68f75bc\hnsab4e.tmp','32');
 DeleteFile('c:\program files\661859f9-1451311214-db11-bfd7-000ea68f75bc\jnsff207.tmp','32');
 DeleteFile('c:\program files\661859f9-1451311214-db11-bfd7-000ea68f75bc\knsdc66d.tmpfs','32');
 DeleteFile('c:\program files\elex-tech\yac\isafetray.exe','32');
 DeleteFile('c:\program files\mpc cleaner\mpcprotectservice.exe','32');
 DeleteFile('c:\program files\mpc cleaner\mpcanalysispdb.exe','32');
 DeleteFile('c:\program files\mpc cleaner\mpctray.exe','32');
 DeleteFile('c:\program files\spacesoundpro\spacesoundpro.exe','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\curlpp.dll','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iCommon.dll','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iCommu.dll','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iDskDllPatch.dll','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iImportLib.dll','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\ipcproxy.dll','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeAdless.dll','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeBase.dll','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeCheckEngine.dll','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeDisp.dll','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeEngineBase.dll','32');
 DeleteFile('C:\Program Files\MPC Cleaner\AdbWinApi.DLL','32');
 DeleteFile('C:\Program Files\MPC Cleaner\AdbWinUsbApi.dll','32');
 DeleteFile('C:\Program Files\MPC Cleaner\AndriodServer.dll','32');
 DeleteFile('C:\Program Files\MPC Cleaner\BrowserPlugIn.dll','32');
 DeleteFile('C:\Program Files\MPC Cleaner\Cleaner.dll','32');
 DeleteFile('C:\Program Files\MPC Cleaner\Update.dll','32');
 DeleteFile('C:\Users\пк7\AppData\Local\Form Balance\{537EECAA-CAA0-C184-994F-40B95AF4F93D}\FormBalance.dll','32');
 DeleteFile('C:\Users\пк7\AppData\Local\Form Balance\{537EECAA-CAA0-C184-994F-40B95AF4F93D}\wgj.dll','32');
 DeleteFile('C:\Users\пк7\AppData\Local\Form Balance\{537EECAA-CAA0-C184-994F-40B95AF4F93D}\{A8B7D493-E7E2-1FD0-9E50-0117FB4500BE}.dat','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys','32');
 DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\iSafeNetFilter.sys','32');
 DeleteFile('C:\Windows\System32\drivers\MPCBase.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32');
 DeleteFile('C:\Program Files\SFK\SSFK.exe','32');
 DeleteFile('C:\Users\пк7\AppData\Local\661859F9-1451329426-DB11-BFD7-000EA68F75BC\snswD5B8.tmp','32');
 DeleteFile('C:\Users\пк7\AppData\Local\661859F9-1451767441-DB11-BFD7-000EA68F75BC\qnsf7D0B.tmp','32');
 DeleteFile('C:\Windows\system32\drivers\wsfd_1_10_0_17.sys','32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 DeleteFile('C:\Users\пк7\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32');
 DeleteFile('C:\Users\70878~1\AppData\Local\Temp\0a50e25a83046228c11dcaa7eeed09bb.exe','32');
 DeleteFile('C:\Program Files\YouTube Accelerator\YouTubeAccelerator.exe','32');
 DeleteFile('C:\ProgramData\ESSPWUIQ\WVEosFr5.bat','32');
 DeleteFile('C:\Users\пк7\AppData\Local\kdzPsKRVi\jfMxBxcSOJFx1.bat','32');
 DeleteFile('C:\PROGRA~1\MOVIES~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll','32');
 DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','32');
 DeleteFile('C:\Program Files\Torrent Search\bWAeOsw.exe','32');
 DeleteFile('C:\Program Files\iWebar\6ed7a8f6-7fb0-4197-b220-c1fdc7290e31-11.exe','32');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','32');
 DeleteFile('C:\Windows\system32\Tasks\6ed7a8f6-7fb0-4197-b220-c1fdc7290e31-11','32');
 DeleteFile('C:\Windows\system32\Tasks\Form Balance','32');
 DeleteFile('C:\Windows\system32\Tasks\Form Balance2','32');
 DeleteFile('C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar','32');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
 DeleteFile('C:\Users\пк7\AppData\Local\Hostinstaller\2483127566_monster.exe','32');
 DeleteFile('C:\Program Files\ShopperPro\JSDriver\1.42.1.1987\jsdrv.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\UNELEVATE_9379','32');
 DeleteFile('C:\Windows\system32\Tasks\UNELEVATE_6369','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
 DeleteFile('C:\Program Files\WordShark_1.10.0.17\Update\WordSharkAutoUpdateClient.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\WordShark Auto Updater 1.10.0.17 Core','32');
 DeleteFile('C:\Windows\system32\Tasks\WordShark Auto Updater 1.10.0.17 Pending Update','32');
 DeleteFile('C:\PROGRA~1\YOUTUB~1\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\YTAUpdate','32');
 DeleteFile('C:\Windows\system32\Tasks\YTAUpdate_logon','32');
 DeleteFile('C:\Windows\system32\Tasks\{DEAF23EA-F9BE-4D86-B025-276C47D9DED7}','32');
 DeleteFile('C:\Users\пк7\AppData\Roaming\oursurfing\UninstallManager.exe','32');
 DeleteFile('C:\Program Files\oursoft\oursoft.exe','32');
DeleteService('zigipyro');
 DeleteService('woforemu');
 DeleteService('SSFK');
 DeleteService('xyvexigu');
 DeleteService('wucotusy');
 DeleteService('MPCProtectService');
 DeleteService('iSafeKrnl');
 DeleteService('iSafeKrnlKit');
 DeleteService('iSafeKrnlMon');
 DeleteService('iSafeKrnlR3');
 DeleteService('iSafeNetFilter');
 DeleteService('MPCBase');
 DeleteService('MPCKpt');
 DeleteService('iSafeKrnlBoot');
 DeleteService('wsfd_1_10_0_17');
 DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
 DelBHO('{d1dac034-9fd9-4c13-a388-d2e10e57707f}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010189');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IcqUpdater');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoobzoYouTubeAccelerator');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы. В случае появления ошибки отправьте файл с помощью этой формы.



Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
http://dragokas.com/tools/move.gif
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи
0
nightingal
0 / 0 / 0
Регистрация: 22.12.2015
Сообщений: 19
03.01.2016, 21:51  [ТС] #3
quarantine отправил некоторые проги не удалилясь через Установку программ

Content Defender
Form Balance
GamesDesktop & удaлил принудительно
istartpageing uninstall & удaлил принудительно оказалась связана с freevideopleer
Movies Toolbar for Internet Explorer
MPC Cleaner
SmartWeb
SpaceSoundPro
SpaceSoundPro Service
Time tasks & удaлил принудительно требовала сетевого админа удалена частично
YAC(Yet Another Cleaner!)
YouTube Accelerator & удaлил принудительно

ещё осталось с десяток самовольных прог
0
Вложения
Тип файла: zip CollectionLog-2016.01.03-20.53.zip (82.5 Кб, 1 просмотров)
Тип файла: log ClearLNK-03.01.2016_20-25.log (6.3 Кб, 0 просмотров)
thyrex
Вирусоборец
7316 / 4872 / 760
Регистрация: 06.09.2009
Сообщений: 19,513
03.01.2016, 23:14 #4
Сделайте лог МВАМ
0
nightingal
0 / 0 / 0
Регистрация: 22.12.2015
Сообщений: 19
04.01.2016, 13:13  [ТС] #5
высылаю лог два варианта с заражённой системы не смог зерегится на вашем сайте
"зверька" в карантине нашли?
0
Вложения
Тип файла: zip mbam-log-2016-01-04 (12-04-01).zip (14.6 Кб, 1 просмотров)
Тип файла: zip 20160104mw.zip (10.3 Кб, 1 просмотров)
severnyj
Вирусоборец
2944 / 1574 / 199
Регистрация: 04.04.2012
Сообщений: 5,898
04.01.2016, 13:26 #6
Удалите все найденное в MBAM, просканируйте заново и сделайте новый лог сканирования
0
nightingal
0 / 0 / 0
Регистрация: 22.12.2015
Сообщений: 19
05.01.2016, 11:32  [ТС] #7
вот логи. с заражённой системы не смог зайти на ваш сайт
0
Вложения
Тип файла: txt 20160105mw.txt (2.9 Кб, 1 просмотров)
Тип файла: zip mbam-log-2016-01-04 (23-34-49).zip (1.8 Кб, 0 просмотров)
thyrex
Вирусоборец
7316 / 4872 / 760
Регистрация: 06.09.2009
Сообщений: 19,513
05.01.2016, 18:24 #8
Скачайте Farbar Recovery Scan Tool http://i.imgur.com/NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
http://i.imgur.com/3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
0
nightingal
0 / 0 / 0
Регистрация: 22.12.2015
Сообщений: 19
05.01.2016, 22:15  [ТС] #9
отчет. на этот раз получилось с заражённой системы зайти на ваш сайт переодически отключается от инета. позиция "время простоя не доступна"
0
Вложения
Тип файла: rar 20160106 (2).rar (28.5 Кб, 1 просмотров)
thyrex
Вирусоборец
7316 / 4872 / 760
Регистрация: 06.09.2009
Сообщений: 19,513
06.01.2016, 22:25 #10
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код
CreateRestorePoint:
SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450720517&from=zzgbkk123&uid=ic35l060avv207-0_vnvb01g2r92wmgr92wmgx&z=041ee238376b4ca359301cbgezbwde8mbo5ebw2g4q&q={searchTerms}
SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450720517&from=zzgbkk123&uid=ic35l060avv207-0_vnvb01g2r92wmgr92wmgx&z=041ee238376b4ca359301cbgezbwde8mbo5ebw2g4q&q={searchTerms}
SearchScopes: HKU\S-1-5-19 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450720517&from=zzgbkk123&uid=ic35l060avv207-0_vnvb01g2r92wmgr92wmgx&z=041ee238376b4ca359301cbgezbwde8mbo5ebw2g4q&q={searchTerms}
SearchScopes: HKU\S-1-5-19 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450720517&from=zzgbkk123&uid=ic35l060avv207-0_vnvb01g2r92wmgr92wmgx&z=041ee238376b4ca359301cbgezbwde8mbo5ebw2g4q&q={searchTerms}
SearchScopes: HKU\S-1-5-20 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450720517&from=zzgbkk123&uid=ic35l060avv207-0_vnvb01g2r92wmgr92wmgx&z=041ee238376b4ca359301cbgezbwde8mbo5ebw2g4q&q={searchTerms}
SearchScopes: HKU\S-1-5-20 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450720517&from=zzgbkk123&uid=ic35l060avv207-0_vnvb01g2r92wmgr92wmgx&z=041ee238376b4ca359301cbgezbwde8mbo5ebw2g4q&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3767365158-2740103850-586967305-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450720517&from=zzgbkk123&uid=ic35l060avv207-0_vnvb01g2r92wmgr92wmgx&z=041ee238376b4ca359301cbgezbwde8mbo5ebw2g4q&q={searchTerms}
Toolbar: HKU\S-1-5-21-3767365158-2740103850-586967305-1001 -> No Name - {00000000-BC08-0034-28BC-340000000000} -  No File
Toolbar: HKU\S-1-5-21-3767365158-2740103850-586967305-1001 -> No Name - {00000000-0278-054E-9802-4E0500000000} -  No File
Toolbar: HKU\S-1-5-21-3767365158-2740103850-586967305-1001 -> No Name - {00000000-0000-0000-0000-000000000000} -  No File
2015-12-30 20:53 - 2016-01-04 19:52 - 00000000 ____D C:\Users\гена\AppData\Roaming\Elex-tech
2015-12-28 19:13 - 2015-12-28 19:13 - 00000008 _____ C:\END
2015-12-28 19:12 - 2016-01-03 19:07 - 00000000 ____D C:\Users\пк7\AppData\Local\Form Balance
2015-12-28 19:12 - 2016-01-03 18:15 - 00000000 ____D C:\Users\пк7\AppData\Local\SmartWeb
2015-12-28 19:03 - 2016-01-03 18:13 - 00000000 ____D C:\Users\пк7\AppData\Local\661859F9-1451329426-DB11-BFD7-000EA68F75BC
2015-12-28 19:01 - 2015-12-28 02:44 - 00001094 _____ C:\Windows\system32\Drivers\etc\hp.bak
2015-12-28 19:00 - 2016-01-03 19:47 - 00000000 ____D C:\Program Files\661859F9-1451311214-DB11-BFD7-000EA68F75BC
2015-12-28 19:00 - 2015-12-31 22:12 - 00000000 ____D C:\Users\пк7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
2015-12-28 19:00 - 2015-12-29 03:26 - 00000000 ____D C:\Users\пк7\AppData\Roaming\ASPackage
2015-12-28 05:49 - 2015-12-28 05:49 - 00000000 ____D C:\Users\Все пользователи\plKXXRNSJmff
2015-12-28 05:49 - 2015-12-28 05:49 - 00000000 ____D C:\ProgramData\plKXXRNSJmff
2015-12-28 19:15 - 2016-01-02 20:25 - 00000000 ____D C:\Users\Все пользователи\rWdMr
2015-12-28 19:15 - 2016-01-02 20:25 - 00000000 ____D C:\ProgramData\rWdMr
2015-12-24 02:27 - 2015-12-29 21:42 - 00000000 ____D C:\Program Files\Torrent Search
2015-12-24 02:27 - 2015-12-24 02:27 - 00000000 ____D C:\Users\пк7\AppData\Local\Hostinstaller
2015-12-24 02:26 - 2015-12-29 21:54 - 00000000 ____D C:\Program Files\Content Defender
2015-12-24 02:26 - 2015-12-24 02:26 - 00000000 ____D C:\Users\пк7\Downloads\Torrentex
2015-12-24 02:25 - 2015-12-29 22:38 - 00000000 ____D C:\Users\пк7\AppData\Roaming\Calculator
2015-12-24 02:24 - 2016-01-01 17:08 - 00000000 ____D C:\Users\Все пользователи\HSiKrEbEo
2015-12-24 02:24 - 2016-01-01 17:08 - 00000000 ____D C:\ProgramData\HSiKrEbEo
2015-12-24 02:24 - 2015-12-29 22:22 - 00000000 ____D C:\Users\пк7\AppData\Local\Amigo
2015-12-24 02:24 - 2015-12-24 02:24 - 00000000 ____D C:\Users\пк7\AppData\Local\kdzPsKRVi
2015-12-24 02:23 - 2016-01-03 19:47 - 00000000 ____D C:\Program Files\Oursoft
Task: {04EE6693-D5CE-4D45-B5F1-95C4224E259D} - \Soft installer -> No File <==== ATTENTION
Task: {059C96A3-0676-465D-BC62-0F151CC0C55B} - \UNELEVATE_9379 -> No File <==== ATTENTION
Task: {2D9D1264-61B8-4A8C-947E-505AEB0B6C39} - \{DEAF23EA-F9BE-4D86-B025-276C47D9DED7} -> No File <==== ATTENTION
Task: {3679A7A3-65A6-4FB3-9350-E137DA9461B9} - \WordShark Auto Updater 1.10.0.17 Pending Update -> No File <==== ATTENTION
Task: {38DC5994-A260-4B9E-8820-DAAAD0CC2832} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {4CF3C3B5-1315-41CC-A17A-A4C89D03F2BD} - \YTAUpdate_logon -> No File <==== ATTENTION
Task: {542A863D-B510-4176-AE14-8612F96CED76} - \Scheduled Update for Ask Toolbar -> No File <==== ATTENTION
Task: {829E592B-3035-4721-81E9-3B062E3267F9} - \6ed7a8f6-7fb0-4197-b220-c1fdc7290e31-11 -> No File <==== ATTENTION
Task: {B9C3213A-288F-4F01-82F3-6D809FA90C51} - \WordShark Auto Updater 1.10.0.17 Core -> No File <==== ATTENTION
Task: {D86468CB-1A52-440D-B56D-135BE1E3AB4C} - \YTAUpdate -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:56E2E879
AlternateDataStreams: C:\ProgramData\TEMP:5786455C
AlternateDataStreams: C:\ProgramData\TEMP:C4252FE0
AlternateDataStreams: C:\Users\Все пользователи\TEMP:56E2E879
AlternateDataStreams: C:\Users\Все пользователи\TEMP:5786455C
AlternateDataStreams: C:\Users\Все пользователи\TEMP:C4252FE0
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
0
nightingal
0 / 0 / 0
Регистрация: 22.12.2015
Сообщений: 19
07.01.2016, 01:39  [ТС] #11
лог
0
Вложения
Тип файла: txt Fixlog.txt (13.8 Кб, 1 просмотров)
thyrex
Вирусоборец
7316 / 4872 / 760
Регистрация: 06.09.2009
Сообщений: 19,513
07.01.2016, 11:44 #12
Что с проблемой?
0
nightingal
0 / 0 / 0
Регистрация: 22.12.2015
Сообщений: 19
07.01.2016, 15:25  [ТС] #13
пока больно не тестил.
из самовольных прог остались на рабочем столе Hamster PDF Reader
в панеле удаления программ copy network card
в программных файлах остались папки удаленных прог наверное можно удалить в ручную
осталось два вопроса
1) svchost грузит проц. иногда парочкой до ста процентов после выхода в инет
2)об этом не указал в шапке как то не придал значения во время вирусной атаки пропал звук. после переустановки драйвера появился треск в динамиках даже когда не воспроизводится звук
да слетело пара драйверов можно ли их начать переустанавливать.
0
thyrex
Вирусоборец
7316 / 4872 / 760
Регистрация: 06.09.2009
Сообщений: 19,513
07.01.2016, 17:28 #14
Цитата Сообщение от nightingal Посмотреть сообщение
из самовольных прог остались на рабочем столе Hamster PDF Reader
в панеле удаления программ copy network card
удалите
0
nightingal
0 / 0 / 0
Регистрация: 22.12.2015
Сообщений: 19
07.01.2016, 18:43  [ТС] #15
удалил . что с остальным ?
0
thyrex
Вирусоборец
7316 / 4872 / 760
Регистрация: 06.09.2009
Сообщений: 19,513
07.01.2016, 22:34 #16
остальное вряд ли имеет отношение к вирусу
0
nightingal
0 / 0 / 0
Регистрация: 22.12.2015
Сообщений: 19
08.01.2016, 17:38  [ТС] #17
пока проблем не появилось кроме описанных выше .

БОЛЬШОЕ СПАСИБО ЗА ОКАЗАННУЮ ПОМОЩЬ В ЛЕЧЕНИИ !!!
0
thyrex
Вирусоборец
7316 / 4872 / 760
Регистрация: 06.09.2009
Сообщений: 19,513
08.01.2016, 20:34 #18
  • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
0
nightingal
0 / 0 / 0
Регистрация: 22.12.2015
Сообщений: 19
13.01.2016, 18:56  [ТС] #19
сегодня хоть не пятница но тринадцатое - к сылочке SecurityCheck by glax24 нет доступа
0
thyrex
Вирусоборец
7316 / 4872 / 760
Регистрация: 06.09.2009
Сообщений: 19,513
13.01.2016, 19:39 #20
У меня все доступно
0
13.01.2016, 19:39
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
13.01.2016, 19:39

Поймал трояна, как вылечить?
С ноутбуком была похожая проблема, вы мне помогли, теперь поймал то же самое на...

Как удалить с microSD вирус трояна PSW Generic 11?
Антивирус AVG вирус находит, сначала писал что удалить не может, теперь вроде...

Эпидемия Win32.HLLW.Shadow.based (Net-Worm.Win32.Kido, W32.Downadup, Worm:Win32/Conficker)
Компания «Доктор Веб» информирует о появлении новой троянской программы,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru