18.03.2016, 22:52 | #1 (ссылка) |
Новичок
Регистрация: 18.03.2016
Сообщений: 7
Репутация: 5
|
Подозрение на вирусы, установилось много ненужных программ
Добрый день.
Проблема такая: после запуска одного «неудачного» файла на комп установились какие-то ненужные программы, Амиго, программы с иероглифами, в браузере постоянно выскакивает интернет-казино, что-то предлагается скачать, в общем весь набор. Удаление программ не помогает, подозрение на вирусы. Логи: uVS http://rghost.ru/6sZYBFDRg AVZ http://rghost.ru/784bQQTzN |
18.03.2016, 23:17 | #2 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
BTV2802, Скопируйте код ниже в буфер обмена
Код:
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\SWDMS\WDMAN.EXE addsgn 1A11CF9A5583338CF42B627DA804DEC9E946303ADEAC940CA1D34EF074C2FA30071B4896B5849E8F107EF2977DEE467815DCE8725A6095E42433A42EB401D1D7 8 Adware.Mutabaha.1051 [DrWeb] delall %SystemDrive%\PROGRAMDATA\SWDMS\WDMAN.EXE delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\ICREINSTALL_9CBD.TMP.EXE delall %SystemDrive%\USERS\PUBLIC\DOWNLOADS\МУЗЫКА\PESNYA_PRO_KOTA_-_MOJ_KOT_LYUBIT_HIP-HOP_(IPLAYER.FM).EXE delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\YEARQUADFAN.EXE delref HTTP:\\WWW.ISTARTPAGEING.COM\?TYPE=SC&TS=1458322936&Z=CB887C0F61F3C14F93F6282G5Z6W6B7CAOEO3TDC5B&FROM=CMI&UID=ST3750525AS_6VPJTXTPXXXX6VPJTXTP delref %SystemDrive%\PROGRAMDATA\RONZAPS\FF.HP delref %SystemDrive%\PROGRAMDATA\RONZAPS\FF.NT delref HTTP://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGIJVKXLYIP4NYE17AVLWUCBJWJ6MZZJCVF7BT8CJPHPLH1VAQ90IG-QW9BOE4S5WV-VRCBSVSNSOS2ZRQD10MZM4AUO5CTKUG-NWNPUNXGPDHM0RVIL0P1XZZVWSFFHMAZ4P1DUWZKKP-T8TLKLSJ0A3GOHXYOAWXMPL4NLCHHKM57LNO48FUOXXIGPQ delref HTTP://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGIJVKXLYIP4NYE17AVLWUCBJWJ6MZZJCVF7BT8CJPHPLH1VAQ90IG-QW9BOE4S5WV-VRCBSVSNSOS2ZRQD10MZM4AUO5CTKUG-V9SBRBXALNEIZNPKNT4M-CNME4RM_ARLRKU_84Z8JVSZAFEX0-_P1BLVOBIMY8CZ2NTBUEJWQ2PBP delref HTTP://VIRALIZEIT.NET/RANDOM delref HTTP://WWW.DUBA.COM/?UN_449343_3345 delref HTTP://WWW.YESSEARCHES.COM/?TS=AHEPC3ALCHMTAE..&V=20160315&UID=3BE7C38BEDBE2750C3DD2DEF8B50DFDD&PTID=SQR1&MODE=SCRP delref HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT delall %SystemDrive%\PROGRAM FILES\38E4F920-1458316065-11DF-AF28-7071BCBF89C5\KNSS1810.TMPFS delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\38E4F920-1458344492-11DF-AF28-7071BCBF89C5\QNSC364E.TMP delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FCGNIGMOFEKCLLGBIEJHMIGGGMGEHKIP\1.1.7_0\WIKI-SEARCH.ME delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OOEBKLGPFNBCNPOKAHMDIDGBMLCDEPKM\3.1_0\电脑管家上网防护 delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCGNIGMOFEKCLLGBIEJHMIGGGMGEHKIP%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAMDATA\RONZAP\SALTCOM.DLL delref %SystemDrive%\PROGRAMDATA\\RONZAP\\RONZAP.EXE regt 12 regt 28 regt 29 deltmp delnfr restart |
19.03.2016, 00:00 | #3 (ссылка) |
Новичок
Регистрация: 18.03.2016
Сообщений: 7
Репутация: 5
|
Все сделано, вот результат:
http://rghost.ru/private/6kN8rbvBP/a...56d342b599cfde |
19.03.2016, 00:14 | #5 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
BTV2802, Можете все удалить.
Далее выполните чистку в AdwCleaner http://pchelpforum.ru/showpost.php?p...2&postcount=18 После окончания сканирования снимите галочки с записей Mail.ru и Yandex (если таковые будут и вы ими пользуетесь в противном случае можете не снимать) и нажмите кнопку Очистить Затем выполните http://pchelpforum.ru/showpost.php?p...1&postcount=20 |
19.03.2016, 00:14 | #6 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
Удаление/зачистка старых антивирусов.
http://www.esetnod32.ru/.support/kno...all_antivirus/ http://pchelpforum.ru/f26/t71649/#post621939 |
19.03.2016, 00:18 | #8 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
1) В Malwarebytes - всё найденное удалите.
( поместите в карантин ) 2) Далее: Выполните лог в АdwСleaner http://pchelpforum.ru/f26/t24207/2/#post1110672 после завершения сканирования: Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru и Yandex снимите [V] Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие с автоперезагрузкой 3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html |
Ads | |
19.03.2016, 00:53 | #9 (ссылка) |
Новичок
Регистрация: 18.03.2016
Сообщений: 7
Репутация: 5
|
Файлы логов
FRST.txt http://rghost.ru/private/86NPRTH6f/2...f10aa3f90800d8 Addition.txt http://rghost.ru/private/6cMdLj7QV/e...068ed3eb1906e1 |
19.03.2016, 01:08 | #10 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
BTV2802, Скопируйте ниже код в Блокнот
Код:
HKLM\...\Run: [win_en_77] => "C:\Program Files\win_en_77\win_en_77.exe" HKLM\...\Run: [sun21] => [X] HKLM\...\Run: [rec_ru_229] => "C:\Program Files\rec_ru_229\rec_ru_229.exe" AppInit_DLLs: C:\ProgramData\Ronzap\Saltcom.dll => C:\ProgramData\Ronzap\Saltcom.dll [257536 2016-03-18] () HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.duba.com/?un_449343_3345 URLSearchHook: [S-1-5-21-1423089912-347344423-2147407009-500] ATTENTION => Default URLSearchHook is missing SearchScopes: HKLM -> DefaultScope value is missing R2 ContentProtectorUpdate; C:\Program Files\ContentProtector\ContentProtectorUpdate.exe [225536 2016-03-10] ("Artex Management S. A.") R2 DrWebEngine; C:\Program Files\DrWeb AV-Desk\dwengine.exe [1973320 2014-10-30] (Doctor Web, Ltd.) R2 Ronzap; C:\ProgramData\\Ronzap\\Ronzap.exe [774144 2016-03-18] () [File not signed] S3 32177D4; C:\Windows\TEMP\32177D4.sys [207920 2015-11-20] (Doctor Web, Ltd.) S3 3688C5C; C:\Windows\TEMP\3688C5C.sys [207920 2015-10-11] (Doctor Web, Ltd.) S3 7076AB2; C:\Windows\TEMP\7076AB2.sys [207920 2015-04-26] (Doctor Web, Ltd.) Task: {568BE81D-61B4-4864-A265-F79F44DD62DE} - System32\Tasks\{BCFBCFED-6541-4BA1-849C-CA493D6DAEE1} => pcalua.exe -a "C:\Program Files\Common Files\Dingtough\uninstall.exe" -c shuz -f "C:\Program Files\Common Files\Dingtough\uninstall.dat" -a uninstallme FACB5928-0AE5-4851-A91B-BF5AFB239CBE DeviceId=1fe9b4e2-5e1f-5934-edc5-b55481235bad BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev Task: {61EA8446-1CBD-417B-A394-5E57EA22C896} - \{0FA9D1C4-FE19-4F3C-8721-4655B30C271E} -> No File <==== ATTENTION 2016-03-18 22:43 - 2016-03-18 22:43 - 07556203 _____ () C:\Program Files\NewExt\jsinjector.exe EmptyTemp: Reboot: Запустите FRST и нажмите кнопку Fix. После перезагрузки в папке с FRST будет файл Fixlog.txt Выложите его сюда. После чего снова сделайте новый образ автозапуска (UVS) и выложите его. |
19.03.2016, 01:30 | #11 (ссылка) |
Новичок
Регистрация: 18.03.2016
Сообщений: 7
Репутация: 5
|
файл Fixlog.txt http://rghost.ru/private/8nygyrKTY/7...f45c090b27697a
новый образ автозапуска (UVS) http://rghost.ru/6wlZpW2jC |
19.03.2016, 01:39 | #12 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
BTV2802, ВЫполните скрипт в UVS
Код:
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\ICREINSTALL_7FC9.TMP.EXE deltmp delnfr restart П.С. 360 Тотал рекомендую удалить. От этого антивируса больше вреда чем пользы. |
19.03.2016, 01:55 | #14 (ссылка) |
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
BTV2802, Тогжа выполните напоследок закрытие уязвимостей в системе http://pchelpforum.ru/showpost.php?p...4&postcount=16
И на этом лечение закончено |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Тормозит компьютер, удаление ненужных программ | lbj | Безопасность | 5 | 30.11.2015 10:45 |
на новом компьютере много сомнительных программ перегружают винду. | мустафа | Безопасность | 15 | 27.11.2015 19:16 |
Много процессов Svchost. Подозрение на вирус. | LuciferMichael | Безопасность | 11 | 01.05.2013 15:18 |
Вирус, подозрение на Trojan.Win32.Inject.aohy и еще много чего =)) | Med | Безопасность | 16 | 23.03.2011 16:55 |
Много всевозможных бесплатных программ для компьютера, для GPS и не только | skygps | Реклама, объявления | 0 | 09.06.2009 16:03 |