Скрытые процессы браузеров в диспетчере. Все ярлыки браузеров с ссылками на запуск скриптов

@Futures · Регистрация: 10.03.2015

Студворк — интернет-сервис помощи студентам

И снова добрый день! Всех с праздниками. Отчет прилагаю:
Помогите разобраться, заранее спасибо!)

@thyrex · 05.05.2015, 19:06

VK Downloader удалите через Установку программ

Выполните скрипт в AVZ

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files\vk downloader\ieef\us6klugees.exe');
QuarantineFile('C:\Users\v\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files\VK Downloader\kfCFztp.exe.exe','');
 QuarantineFile('C:\Users\v\AppData\Local\SwvUpdater\Updater.exe','');
 QuarantineFile('C:\Users\v\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\Users\v\AppData\Local\Microsoft\Windows\toolbar.exe','');
 QuarantineFile('C:\Program Files\VK Downloader\IEEF\c9pPYtag0O.dll','');
 QuarantineFile('c:\program files\vk downloader\ieef\us6klugees.exe','');
 DeleteFile('c:\program files\vk downloader\ieef\us6klugees.exe','32');
 DeleteFile('C:\Program Files\VK Downloader\IEEF\c9pPYtag0O.dll','32');
 DeleteFile('C:\Users\v\AppData\Local\Microsoft\Windows\toolbar.exe','32');
 DeleteFile('C:\Users\v\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\v\AppData\Local\SwvUpdater\Updater.exe','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','32');
 DeleteFile('C:\Program Files\VK Downloader\kfCFztp.exe.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
 DeleteFile('C:\Windows\system32\Tasks\DSite','32');
 DeleteFile('C:\Users\v\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader','32');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','32');
 DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Code
begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

http://dragokas.com/tools/move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Сделайте новые логи по правилам

@Futures · 06.05.2015, 20:09 **[ТС]**

Добрый день! Только сегодня добрался до машинки, извиняюсь (праздники). Логи прилагаю, посмотрите, пожалуйста:

@thyrex · 06.05.2015, 20:26

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
[img]http://i.**********/B92LqRQ.png[/img]
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

@Futures · 06.05.2015, 21:05 **[ТС]**

Логи:

@Futures · 06.05.2015, 21:18 **[ТС]**

Извиняюсь, забыл добавить опции "List BCD" и "Driver MD5", теперь с ними:

@thyrex · 07.05.2015, 17:48

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-142827843-3113647101-2908563793-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\v\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found]
CHR HKU\S-1-5-21-142827843-3113647101-2908563793-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
S2 servervo; C:\Users\v\AppData\Roaming\VOPackage\VOsrv.exe [X] <==== ATTENTION
2015-05-03 15:18 - 2015-05-03 15:18 - 00000000 __SHD () C:\Users\v\AppData\Local\EmieBrowserModeList
2015-04-22 01:49 - 2015-05-02 17:55 - 00000464 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-04-22 01:49 - 2015-05-02 17:55 - 00000464 __RSH () C:\ProgramData\ntuser.pol
2015-04-22 01:49 - 2015-05-02 17:55 - 00000258 __RSH () C:\Users\v\ntuser.pol
C:\Users\v\AppData\Local\Temp\3dnOIWD0TGRc.exe
C:\Users\v\AppData\Local\Temp\451Lw3Dl2vZ5.exe
C:\Users\v\AppData\Local\Temp\4aIUrpQlwGcO.exe
C:\Users\v\AppData\Local\Temp\4mZ69mRWiDkH.exe
C:\Users\v\AppData\Local\Temp\54zUSAv5tZFK.exe
C:\Users\v\AppData\Local\Temp\5LYb7rBgFFZB.exe
C:\Users\v\AppData\Local\Temp\7-zip.dll
C:\Users\v\AppData\Local\Temp\7CE4ECE3-6185-4257-9E4E-729BF58C2557.exe
C:\Users\v\AppData\Local\Temp\7z.dll
C:\Users\v\AppData\Local\Temp\7z.exe
C:\Users\v\AppData\Local\Temp\803B2831-D8EF-4D96-A2D1-0860825B1567.exe
C:\Users\v\AppData\Local\Temp\9LwL4lUsaGdY.exe
C:\Users\v\AppData\Local\Temp\9UMtVdlZkvYC.exe
C:\Users\v\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\v\AppData\Local\Temp\CCySsMRlGpqY.exe
C:\Users\v\AppData\Local\Temp\eNxkfLcWYilw.exe
C:\Users\v\AppData\Local\Temp\fM4S8nnIgiU9.exe
C:\Users\v\AppData\Local\Temp\He0JB4td1su3.exe
C:\Users\v\AppData\Local\Temp\IuJ8GgbQIQ2O.exe
C:\Users\v\AppData\Local\Temp\lDkRmsDC3Fag.exe
C:\Users\v\AppData\Local\Temp\LMwwbL8VZhpz.exe
C:\Users\v\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\v\AppData\Local\Temp\mediaget-uninstaller.exe
C:\Users\v\AppData\Local\Temp\mntKDKkwO3g3.exe
C:\Users\v\AppData\Local\Temp\MszAgAwAng1V.exe
C:\Users\v\AppData\Local\Temp\PdPuMVC8RdMS.exe
C:\Users\v\AppData\Local\Temp\plcsuLxvBVkD.exe
C:\Users\v\AppData\Local\Temp\PulJPoUy8h7i.exe
C:\Users\v\AppData\Local\Temp\qRkHRfHmK5PE.exe
C:\Users\v\AppData\Local\Temp\qwe.exe
C:\Users\v\AppData\Local\Temp\QwgqaP9zTeLW.exe
C:\Users\v\AppData\Local\Temp\rx34.exe
C:\Users\v\AppData\Local\Temp\setup.exe
C:\Users\v\AppData\Local\Temp\T9IMbbqCUrxL.exe
C:\Users\v\AppData\Local\Temp\TimeTasksSetup.exe
C:\Users\v\AppData\Local\Temp\UNNERO.exe
C:\Users\v\AppData\Local\Temp\wB9yTeWZBvZ1.exe
C:\Users\v\AppData\Local\Temp\WBLqz4DUdkV5.exe
C:\Users\v\AppData\Local\Temp\xvbqYourHwr7.exe
C:\Users\v\AppData\Local\Temp\ZaxarSetup.4.001.33.exe
C:\Users\v\AppData\Local\Temp\zD8k2MbqJasE.exe
C:\Users\v\AppData\Local\Temp\ZTrLNpfNj43q.exe
Task: {AFC44433-8372-439B-AC3E-3BAD31FA3296} - \DSite No Task File <==== ATTENTION
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

@Futures · 08.05.2015, 13:39 **[ТС]**

Сделал:

@shestale · 08.05.2015, 18:51

Почистите кэш и куки в браузерах.

Проблемы решены?

@Futures · 11.05.2015, 12:19 **[ТС]**

Добрый день! Сделал фикс и прислал логи, жду ответа все ли в них чисто. Система на мониторинге, стоит каспер))

@thyrex · 11.05.2015, 13:39

По логам порядок, все остальное лучше видно Вам самому.

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Содержимое лога, который откроется, скопируйте и выложите в сообщение, затем скачайте и установите все обновления по ссылкам, если таковые будут рекомендованы.

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! в-строка - входное арифметическое выражение в инфиксной(обычной). . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@thyrex 14445 / 7486 / 1580 Регистрация: 06.09.2009 Сообщений: 27,129
	06.05.2015, 20:26
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan** отмечены "List BCD" и "Driver MD5". [img]http://i.********/B92LqRQ.png[/img] Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt**). Пожалуйста, прикрепите его в следующем сообщении. 1

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	08.05.2015, 18:51
	Почистите кэш и куки в браузерах. Проблемы решены? 0

@Futures 2 / 2 / 0 Регистрация: 10.03.2015 Сообщений: 128
	11.05.2015, 12:19 [ТС]
	Добрый день! Сделал фикс и прислал логи, жду ответа все ли в них чисто. Система на мониторинге, стоит каспер)) 0

@thyrex 14445 / 7486 / 1580 Регистрация: 06.09.2009 Сообщений: 27,129
	11.05.2015, 13:39
	По логам порядок, все остальное лучше видно Вам самому. Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Содержимое лога, который откроется, скопируйте и выложите в сообщение, затем скачайте и установите все обновления по ссылкам, если таковые будут рекомендованы. 1