Вирус ciplus-4.5 и все что с ним связано

@mexico · Регистрация: 23.08.2015

Студворк — интернет-сервис помощи студентам

пердварительно удалил хром, почистил adwcleaner, cureit, hitman pro поочередно.

сама программа ciplus-4.5 через удаление программ не удаляется - система зависает и все.

логи от autologger прилагаются

@Sandor · 24.08.2015, 09:48

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя mexico. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\26a39e60-1439513416-11dd-8b76-ac220b83b49f\knsif533.tmpfs');
 StopService('pinydodo');
 QuarantineFile('C:\Users\Lotta\AppData\Roaming\Baidu\Cliponyu\Cliponyu.exe','');
 QuarantineFile('c:\program files (x86)\26a39e60-1439513416-11dd-8b76-ac220b83b49f\knsif533.tmpfs', '');
 QuarantineFile('C:\Users\Lotta\AppData\Roaming\376TrAbcTIn8d5C8n2.exe', '');
 DeleteFile('C:\Users\Lotta\AppData\Roaming\Baidu\Cliponyu\Cliponyu.exe','32');
 DeleteFile('c:\program files (x86)\26a39e60-1439513416-11dd-8b76-ac220b83b49f\knsif533.tmpfs', '32');
 DeleteFile('C:\Users\Lotta\AppData\Roaming\376TrAbcTIn8d5C8n2.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "376TrAbcTIn8d5C8n2.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "376TrAbcTIn8d5C8n2" /F', 0, 15000, true);
 DeleteService('pinydodo');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Cliponyu');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы в верху или с помощью этой формы.
Еще раз подготовьте лог сканирования AdwCleaner.

@mexico · 24.08.2015, 12:41 **[ТС]**

Скрипт выполнил, файл через форму отправил.
Сама программа Ciplus-4.5 так и не удаляется.
Лог прилагаю.

@Sandor · 24.08.2015, 12:56

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Далее:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@mexico · 24.08.2015, 18:30 **[ТС]**

AdwCleaner[C2].txt

Shortcut.rar

FRST.rar

Addition.rar

вроде все сделал.

@Sandor · 25.08.2015, 09:11

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Code
start
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010067] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010068] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010069] => [X]
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} =>  No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3733843420-37988609-3105448258-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
FF Plugin: @iqiyi.com/npclient -> C:\IQIYI Video\LStyle\npclient.dll [No File]
FF Plugin: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll [No File]
2015-08-23 21:35 - 2015-08-23 21:36 - 00000000 ____D C:\Users\Все пользователи\2WinManPro2
2015-08-23 21:35 - 2015-08-23 21:36 - 00000000 ____D C:\ProgramData\2WinManPro2
2015-08-23 19:24 - 2015-08-23 19:24 - 00613255 _____ (CMI Limited) C:\Users\Lotta\AppData\Local\nspAAA7.tmp
2015-08-23 06:59 - 2015-08-23 06:59 - 00613255 _____ (CMI Limited) C:\Users\Lotta\AppData\Local\nsc8AE5.tmp
2015-08-22 17:44 - 2015-08-22 17:44 - 00613255 _____ (CMI Limited) C:\Users\Lotta\AppData\Local\nsr7F12.tmp
2015-08-22 17:22 - 2015-08-22 17:22 - 00613255 _____ (CMI Limited) C:\Users\Lotta\AppData\Local\nst3078.tmp
2015-08-22 17:20 - 2015-08-22 17:21 - 00000000 ____D C:\Program Files (x86)\0b0bb9a7-78b6-42d7-9276-1f6200bd4770
2015-08-22 17:19 - 2015-08-22 18:20 - 00000000 ____D C:\Program Files (x86)\CiPlus-4.5vV22.08
2015-08-22 17:18 - 2015-08-24 14:17 - 00000000 ____D C:\Users\Все пользователи\update
2015-08-22 17:18 - 2015-08-24 14:17 - 00000000 ____D C:\ProgramData\update
2015-08-22 17:18 - 2015-08-23 17:57 - 00000000 ____D C:\Users\Lotta\AppData\Local\Unity
2015-08-22 17:18 - 2015-08-22 17:19 - 00000000 ____D C:\Users\Все пользователи\JWinManProJ
2015-08-22 17:18 - 2015-08-22 17:19 - 00000000 ____D C:\ProgramData\JWinManProJ
2015-08-22 17:18 - 2015-08-22 17:18 - 00000000 ____D C:\Users\Public\QiYi
2015-08-22 17:16 - 2015-08-23 18:28 - 00000000 ____D C:\Program Files (x86)\baidu
2015-08-14 03:50 - 2015-08-23 01:26 - 00000000 ____D C:\Users\Все пользователи\IObit
2015-08-14 03:50 - 2015-08-23 01:26 - 00000000 ____D C:\ProgramData\IObit
2015-08-14 03:50 - 2015-08-23 01:14 - 00000000 ____D C:\Users\Lotta\AppData\Roaming\IObit
irewallRules: [{6A932857-C53B-4DB4-8E28-DD87D18AD295}] => (Allow) C:\Users\Lotta\AppData\Local\Temp\nsqB6E4.tmp\CnetInstaller-75898999.exe
FirewallRules: [{EB4C6ECA-A695-4C7B-9F38-4C19F0272C14}] => (Allow) C:\Users\Lotta\AppData\Local\Temp\nsqB6E4.tmp\CnetInstaller-75898999.exe
FirewallRules: [TCP Query User{5C8581B8-D578-467E-AC20-DBA1F3F24F40}C:\users\lotta\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\lotta\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{A3C85D4D-D433-4C7E-9488-0CDD73887949}C:\users\lotta\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\lotta\appdata\local\mediaget2\mediaget.exe
FirewallRules: [{9AF5FB0F-DF84-408C-B76F-0A62FBC0BDC4}] => (Allow) C:\Users\Lotta\AppData\Roaming\Baidu\Cliponyu\Cliponyu.exe
FirewallRules: [{B7145F73-8AD8-4B5C-A08C-8FAC87292351}] => (Allow) C:\Users\Lotta\AppData\Roaming\Baidu\Cliponyu\UpServer.exe
FirewallRules: [{D59415A9-AA39-4069-A7DF-85780A4E991E}] => (Allow) C:\Users\Lotta\AppData\Roaming\Baidu\Cliponyu\InceUpdate.exe
FirewallRules: [{F7FCE6C7-1141-4DB8-9B6A-0E25AC70A01F}] => (Allow) C:\Users\Lotta\AppData\Roaming\Baidu\Cliponyu\ince_common.exe
FirewallRules: [{8E4F2ACE-3774-416C-8880-DD211DDF7A26}] => (Allow) C:\Torrentex\Torrentex.exe
FirewallRules: [{1AC6B640-09E8-4AB6-87BF-2B9CA0491684}] => (Allow) C:\Torrentex\Torrentex.exe
FirewallRules: [Torrentex-In-TCP] => (Allow) C:\Torrentex\Torrentex.exe
FirewallRules: [Torrentex-In-UDP] => (Allow) C:\Torrentex\Torrentex.exe
FirewallRules: [{E54D2D1A-3FD8-4544-AE75-0E23500F6A46}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{033E45AB-5BCF-4EBA-A26E-FC8C263A96BE}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{EA8D4172-BE9C-416F-B9F3-92B0C0D3DF6C}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите о проблеме.

@mexico · 25.08.2015, 14:05 **[ТС]**

нашел 2 лога, на всякий случай выложил оба

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,733
	24.08.2015, 09:48
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя mexico. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Code begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\26a39e60-1439513416-11dd-8b76-ac220b83b49f\knsif533.tmpfs'); StopService('pinydodo'); QuarantineFile('C:\Users\Lotta\AppData\Roaming\Baidu\Cliponyu\Cliponyu.exe',''); QuarantineFile('c:\program files (x86)\26a39e60-1439513416-11dd-8b76-ac220b83b49f\knsif533.tmpfs', ''); QuarantineFile('C:\Users\Lotta\AppData\Roaming\376TrAbcTIn8d5C8n2.exe', ''); DeleteFile('C:\Users\Lotta\AppData\Roaming\Baidu\Cliponyu\Cliponyu.exe','32'); DeleteFile('c:\program files (x86)\26a39e60-1439513416-11dd-8b76-ac220b83b49f\knsif533.tmpfs', '32'); DeleteFile('C:\Users\Lotta\AppData\Roaming\376TrAbcTIn8d5C8n2.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "376TrAbcTIn8d5C8n2.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "376TrAbcTIn8d5C8n2" /F', 0, 15000, true); DeleteService('pinydodo'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Cliponyu'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы в верху или с помощью этой формы. Еще раз подготовьте лог сканирования AdwCleaner. 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,733
	24.08.2015, 12:56
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. Далее: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@mexico 0 / 0 / 0 Регистрация: 23.08.2015 Сообщений: 4
	24.08.2015, 18:30 [ТС]
	AdwCleaner[C2].txt Shortcut.rar FRST.rar Addition.rar вроде все сделал. 0