29 / 29 / 2
Регистрация: 17.12.2012
Сообщений: 493
|
|
1 | |
SmartWeb, GamesDesktop, реклама и другие вирусы12.06.2015, 03:09. Показов 1986. Ответов 21
Метки нет (Все метки)
Всем доброго времени суток. Скачал программу FRAPS из инета для снимка экрана, а вместе с ним понакачалось всяких вирусов, и теперь после каждого удаления, они постоянно вылазят, сами откуда беруться и по новой устанавливаются. Я уже и Dr Web Curiet их удалял всех, и из автозагрузки, и из планировщика задач убирал, и CCLeaner пробовал - все в пустую. Жду помощи как удалить.
0
|
12.06.2015, 03:09 | |
Ответы с готовыми решениями:
21
Самостоятельно устанавливающиеся AnyProtect, CinemaPlus, Edu App, GamesDesktop, SmartWeb и другие SmartWeb и другие. Реклама в браузерах GamesDesktop и SmartWeb SmartWeb, Edu App, GamesDesktop, oursurfing: |
29 / 29 / 2
Регистрация: 17.12.2012
Сообщений: 493
|
|
12.06.2015, 03:44 [ТС] | 2 |
Вот логи
0
|
13107 / 7257 / 1536
Регистрация: 06.09.2009
Сообщений: 26,496
|
|
12.06.2015, 09:59 | 3 |
Выполните скрипт в AVZ Код
begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; SetServiceStart('xoperoze', 4); SetServiceStart('qobobuqu', 4); TerminateProcessByName('c:\users\dns\appdata\roaming\2bc20d20-1433940574-11b2-8000-92302bf7f4f2\nss9945.tmp'); TerminateProcessByName('c:\users\dns\appdata\roaming\2bc20d20-1433940574-11b2-8000-92302bf7f4f2\jnsx8f20.tmp'); TerminateProcessByName('c:\users\dns\appdata\roaming\2bc20d20-1433940574-11b2-8000-92302bf7f4f2\hnssa937.tmp'); QuarantineFile('C:\Users\DNS\appdata\roaming\aspackage\aspackage.exe',''); QuarantineFile('C:\Program Files\miuitab\protectservice.exe',''); QuarantineFile('C:\Program Files\miuitab\hpnotify.exe',''); QuarantineFile('C:\Program Files\Microsoft Data\install_addons.exe',''); QuarantineFile('C:\Users\DNS\AppData\Roaming\4Vzfbk6.exe',''); QuarantineFile('C:\Program Files\gmsd_ru_290\gmsd_ru_290.exe',''); QuarantineFile('C:\Program Files\MiuiTab\SupTab.dll',''); QuarantineFile('c:\users\dns\appdata\roaming\2bc20d20-1433940574-11b2-8000-92302bf7f4f2\nss9945.tmp',''); QuarantineFile('c:\users\dns\appdata\roaming\2bc20d20-1433940574-11b2-8000-92302bf7f4f2\jnsx8f20.tmp',''); QuarantineFile('c:\users\dns\appdata\roaming\2bc20d20-1433940574-11b2-8000-92302bf7f4f2\hnssa937.tmp',''); DeleteFile('c:\users\dns\appdata\roaming\2bc20d20-1433940574-11b2-8000-92302bf7f4f2\hnssa937.tmp','32'); DeleteFile('c:\users\dns\appdata\roaming\2bc20d20-1433940574-11b2-8000-92302bf7f4f2\jnsx8f20.tmp','32'); DeleteFile('c:\users\dns\appdata\roaming\2bc20d20-1433940574-11b2-8000-92302bf7f4f2\nss9945.tmp','32'); DeleteFile('C:\Program Files\MiuiTab\SupTab.dll','32'); DeleteFile('C:\Program Files\gmsd_ru_290\gmsd_ru_290.exe','32'); DeleteFile('C:\Users\DNS\AppData\Roaming\4Vzfbk6.exe','32'); DeleteFile('C:\windows\Tasks\4Vzfbk6.job','32'); DeleteFile('C:\Program Files\Microsoft Data\install_addons.exe','32'); DeleteFile('C:\windows\system32\Tasks\chrome5','32'); DeleteFile('C:\windows\system32\Tasks\chrome5_logon','32'); DeleteFile('C:\windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32'); DeleteFile('C:\Program Files\miuitab\hpnotify.exe','32'); DeleteFile('C:\Program Files\miuitab\protectservice.exe','32'); DeleteFile('C:\Users\DNS\appdata\roaming\aspackage\aspackage.exe','32'); DeleteService('qobobuqu'); DeleteService('xoperoze'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Выполните скрипт в AVZ Код
begin CreateQurantineArchive('c:\quarantine.zip'); end. Сделайте новые логи по правилам
1
|
29 / 29 / 2
Регистрация: 17.12.2012
Сообщений: 493
|
|
12.06.2015, 13:48 [ТС] | 4 |
thyrex, вот логи новые. После выполнения первого скрипта, опять все эти программы создались и установка пошла еще каких-то.
0
|
29 / 29 / 2
Регистрация: 17.12.2012
Сообщений: 493
|
|
12.06.2015, 13:49 [ТС] | 5 |
thyrex, видимо после перезагрузки компьютера что-то происходит, выполнение в автозагрузке какого-т вируса, GU PLAYER какой то создался и не удаляется из УСТАНОВКА ПРОГРАММ
0
|
13107 / 7257 / 1536
Регистрация: 06.09.2009
Сообщений: 26,496
|
|
12.06.2015, 14:20 | 6 |
Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1
|
29 / 29 / 2
Регистрация: 17.12.2012
Сообщений: 493
|
|
12.06.2015, 14:46 [ТС] | 7 |
Вот файлы, создались 2 файла
0
|
29 / 29 / 2
Регистрация: 17.12.2012
Сообщений: 493
|
|
12.06.2015, 15:56 [ТС] | 8 |
thyrex, что сделать далее?
0
|
13107 / 7257 / 1536
Регистрация: 06.09.2009
Сообщений: 26,496
|
|
12.06.2015, 15:57 | 9 |
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код
CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-1709350910-542430628-2805290135-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\...\Run: [gmsd_ru_005010001] => [X] HKU\S-1-5-21-1709350910-542430628-2805290135-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1709350910-542430628-2805290135-1000\...\Run: [amigo] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1433941420&z=a8d8f9ba7a89b86cade9eecg3z0cbc6tfzbg4z0g3m&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1433941420&z=a8d8f9ba7a89b86cade9eecg3z0cbc6tfzbg4z0g3m&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1433941420&z=a8d8f9ba7a89b86cade9eecg3z0cbc6tfzbg4z0g3m&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1433941420&z=a8d8f9ba7a89b86cade9eecg3z0cbc6tfzbg4z0g3m&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&q={searchTerms} HKU\S-1-5-21-1709350910-542430628-2805290135-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1433941420&z=a8d8f9ba7a89b86cade9eecg3z0cbc6tfzbg4z0g3m&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891 HKU\S-1-5-21-1709350910-542430628-2805290135-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1433941420&z=a8d8f9ba7a89b86cade9eecg3z0cbc6tfzbg4z0g3m&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1433941420&z=a8d8f9ba7a89b86cade9eecg3z0cbc6tfzbg4z0g3m&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1433941420&z=a8d8f9ba7a89b86cade9eecg3z0cbc6tfzbg4z0g3m&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&q={searchTerms} SearchScopes: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&ts=1433941480&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> Moikrug URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&ts=1433941480&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> Yandex URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&ts=1433941480&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&ts=1433941480&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&ts=1433941480&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&ts=1433941480&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&ts=1433941480&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> {72D51124-41D5-461C-A867-05AA4CEB77A9} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&ts=1433941480&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&ts=1433941480&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&ts=1433941480&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=SAMSUNGXHM321HI_S26VJ9BZB38891&ts=1433941480&type=default&q={searchTerms} BHO: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files\MiuiTab\SupTab.dll No File BHO: No Name -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> No File Toolbar: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-1709350910-542430628-2805290135-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Homepage: hxxp://nilavets.ru/?utm_source=startpage03&utm_content=8f6d4503ab6fae3230d697202021f8eb FF Extension: NetFilterPRO - C:\Users\DNS\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\admin@netfilter.pro [2015-04-07] CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\DNS\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found] S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X] 2015-06-12 18:07 - 2015-06-12 18:07 - 00613255 _____ (CMI Limited) C:\Users\DNS\AppData\Local\nsp23B5.tmp 2015-06-12 18:03 - 2015-06-12 18:03 - 00000000 ____D C:\Program Files\GUPlayer 2015-06-12 17:46 - 2015-06-12 17:46 - 00000000 ____D C:\Users\DNS\AppData\Local\gmsd_ru_290 2015-06-12 08:56 - 2015-06-12 18:17 - 00000000 ____D C:\Users\DNS\AppData\Local\SmartWeb 2015-06-12 08:27 - 2015-06-12 08:27 - 00000000 ____D C:\Users\DNS\SupTab 2015-06-11 21:21 - 2015-06-11 21:54 - 00000000 ____D C:\Users\DNS\AppData\Local\skinapp 2015-06-11 21:21 - 2015-06-11 21:21 - 00000000 ____D C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\skinapp 2015-06-11 09:19 - 2015-06-11 09:19 - 00000000 ____D C:\Device 2015-06-10 23:07 - 2015-06-10 23:07 - 00000000 ____D C:\Users\DNS\AppData\Local\globalUpdate 2015-06-10 23:06 - 2015-06-10 23:06 - 00000000 __SHD C:\Users\DNS\AppData\Roaming\AnyProtectEx 2015-06-10 21:04 - 2015-06-12 18:13 - 00000000 ____D C:\Program Files\MiuiTab 2015-06-10 21:04 - 2015-06-11 09:21 - 00000000 ____D C:\Users\Все пользователи\WindowsMangerProtect 2015-06-10 21:04 - 2015-06-11 09:21 - 00000000 ____D C:\ProgramData\WindowsMangerProtect 2015-06-10 20:52 - 2015-06-11 09:21 - 00000000 ____D C:\Users\DNS\AppData\Local\2BC20D20-1433969573-11B2-8000-92302BF7F4F2 2015-06-10 20:51 - 2015-06-10 20:51 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} 2015-04-07 15:51 - 2015-04-07 15:51 - 0000042 _____ () C:\Users\DNS\AppData\Roaming\267535C07324224A53A6 2015-04-19 20:20 - 2015-04-19 20:20 - 0005872 _____ () C:\Users\DNS\AppData\Roaming\4Vzfbk6 C:\Users\DNS\AppData\Local\Temp\fsd82B6.exe C:\Users\DNS\AppData\Local\Temp\fsdF96C.exe Task: {8AFBE9AF-5128-423F-9A75-53386BC89CE6} - \chrome5 No Task File <==== ATTENTION Task: {98609AB3-11E8-4179-93E3-A66F9F7E164A} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION Task: {D94D4C97-4473-4CBF-A804-069D8D29A023} - \chrome5_logon No Task File <==== ATTENTION AlternateDataStreams: C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_98fe7RGgatvcZCaXxF7ff2529Fk-481123052 AlternateDataStreams: C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_gdtS6a0b5ZRt_6PIn1MCYzp2mNI-1645993638 AlternateDataStreams: C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_l2V968dCa1zMr5TTWgVJQP6xPVU1582337518 AlternateDataStreams: C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qFyz_p77Mklm6G-g9tbfmp6arrk-91909773 AlternateDataStreams: C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qUrYP-q7tpBAiiIGw2drcOQ1OLk285189430 AlternateDataStreams: C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_TS_g8TeGGDswpR4ufNJw3TS0-CM-2018099378 AlternateDataStreams: C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_Uk8wMlO6kp7jGPt0n6rTPeL77QE-1116572040 Reboot:
1
|
29 / 29 / 2
Регистрация: 17.12.2012
Сообщений: 493
|
|
12.06.2015, 16:12 [ТС] | 10 |
thyrex, вот лог-файл
0
|
13107 / 7257 / 1536
Регистрация: 06.09.2009
Сообщений: 26,496
|
|
12.06.2015, 16:20 | 11 |
Что с проблемой?
0
|
29 / 29 / 2
Регистрация: 17.12.2012
Сообщений: 493
|
|
12.06.2015, 16:25 [ТС] | 12 |
thyrex, ну сейчас пока вот после выполнения всех вышеперечисленных действий ничего не запускалось, ничего не устанавливается. рекламы не выскакивают вроде никакие. Как убедиться что ничего не осталось?
0
|
13107 / 7257 / 1536
Регистрация: 06.09.2009
Сообщений: 26,496
|
|
12.06.2015, 16:35 | 13 |
Понаблюдайте.
Если ничего не появится, тогда
1
|
29 / 29 / 2
Регистрация: 17.12.2012
Сообщений: 493
|
|
12.06.2015, 16:41 [ТС] | 14 |
thyrex, а если допустим сделать еще один ЛОГ в программе AVZ, как на первом этапе устранения вирусов, и вам скинуть, то вы в этом логе сможете посмотреть и понять, осталось ли у меня что-то?
0
|
13107 / 7257 / 1536
Регистрация: 06.09.2009
Сообщений: 26,496
|
|
12.06.2015, 16:42 | 15 |
Не нужно
0
|
29 / 29 / 2
Регистрация: 17.12.2012
Сообщений: 493
|
|
12.06.2015, 16:42 [ТС] | 16 |
thyrex, и еще, GU Player какой-то до сих пор остался в УСТАНОВКА И УДАЛЕНИЕ ПРОГРАММ и оттуда не удаляется
0
|
29 / 29 / 2
Регистрация: 17.12.2012
Сообщений: 493
|
|
12.06.2015, 16:45 [ТС] | 17 |
thyrex, вот файл
0
|
13107 / 7257 / 1536
Регистрация: 06.09.2009
Сообщений: 26,496
|
|
12.06.2015, 16:47 | 18 |
0
|
29 / 29 / 2
Регистрация: 17.12.2012
Сообщений: 493
|
|
12.06.2015, 16:51 [ТС] | 19 |
thyrex, а нет, извиняюсь, сейчас нажал удалить, он удалился, написано что файл был уже ранее удален и просто запись удалилась.
Добавлено через 1 минуту thyrex, хотел бы еще задать вопрос вам: есть такая утилита как Dr Web Curiet, она эффективна в удалении вирусов, стоит ли ее использовать и проверять регулярно компьютер, т.к. пока нет возможности поставить лицензионный антивирус?
0
|
13107 / 7257 / 1536
Регистрация: 06.09.2009
Сообщений: 26,496
|
|
12.06.2015, 17:01 | 20 |
Тут, как и при использовании обычных лекарств, главное не переборщить
0
|
12.06.2015, 17:01 | |
12.06.2015, 17:01 | |
Помогаю со студенческими работами здесь
20
SmartWeb, Edu App, GamesDesktop, oursurfing: самозагрузка SmartWeb, GamesDesktop, AnyProtect и др. программы постоянно устанавливаются SmartWeb, Edu App, GamesDesktop, oursurfing, Cross Browse и AnyProtect SmartWeb, GamesDesktop, Cross Browse и др. программы постоянно устанавливаются Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |