Компьютерный форум
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Компьютерный форум (http://pchelpforum.ru/index.php)
-   Безопасность (http://pchelpforum.ru/forumdisplay.php?f=26)
-   -   Подхватил какую-то фигню) (http://pchelpforum.ru/showthread.php?t=147836)

Badboy1 06.07.2015 16:57
Подхватил какую-то фигню)
 
Доброго времени суток. Вообщем, качал нужную мне программу и подхватил такую фигню: установилось дофига левых программ (браузер какой-то Crossbrowser, еще какие-то Infonaut и т.д.) Пытался деинсталлировать Uninstalltool`ом, вручную удалить, через тотал коммандер - не вышло. Чистил AVZ, находил подозрительные файлы, но не более, чистил Авастом, нашел около 30 вирусов, удалил, но проблема осталась. В диспетчере задача левые процессы. Пытался сделать лог автозапуска через UVS, выкидывает с ошибкой,:"Прекращена работа "и тут в кавычка разные буквы, всегда новые) Что делать? Все время просить установить какую-то хрень, обновить какую-то хрень. Чтоб у авторов этойхрени отсохли руки и их "хозяйство". Достали! Помогите пожалуйста. Заранее благодарю

safety 06.07.2015 17:02
добавьте образ автозапуска,
пробуйте сделать из безопасного режима, актуальной версией 3.85.25
http://pchelpforum.ru/showpost.php?p=293738&postcount=2

Badboy1 07.07.2015 11:58
safety, http://rghost.ru/8hMV9PZkq
Еще заметил, что в ВК не открывает диалоги, аудио и видео.

safety 07.07.2015 12:45
Badboy1,
а что там с датой? уже вторая неделя прошла со дня создания образа. многое могло измениться за это время.

safety 07.07.2015 12:54
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV04.07\8D1F3819-459A-4584-907D-BFF77A0F32D0-1-6.EXE
addsgn 1AC52D9B55834C720BD4C4A50C48305725629F6389FAF7F9E4C3C5B3E7261B4ECBAB9A563E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Trojan.Crossrider1.16093 [DrWeb]

zoo %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\LOCAL\GMSD_RU_005010020\UPGMSD_RU_005010020.EXE
addsgn 1A77CD9A5583C58CF42B95BC544B7C0550880F3560D8A4788548043F30D2718B2347CB3E3E93DD412B430F60139DA571BC54A57A92DAE02444772F264E4E26B5 8 Adware.Downware.10601 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV04.07\8D1F3819-459A-4584-907D-BFF77A0F32D0-1-7.EXE
addsgn 1A3A779B5583338CF42B627DA804DEC9E946303A4571535C899440755F52E34C23179504B58C163D0F947359451649FAF6A3CC6220D171C52F7821AAC7062298 8 Win32/Toolbar.CrossRider

zoo %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV04.07\8D1F3819-459A-4584-907D-BFF77A0F32D0-7.EXE
zoo %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\LOCAL\15563\UPDATER.EXE
addsgn 1ABF639B5583C58CF42B254E3143FE6F2FE0FC09FCF2F77B92C2C53F94DA2C8FA8E896DCD2AAE845418AEE9FB963411268C8E972D61EA071EEFC5B7A4CEA7F9A 8 Win32/Amonetize

zoo %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\ANYPROTECT.EXE
addsgn 1A74EF9A5583C58CF42B95BC14B97A0550880F3560E586788548043F30D2718B238FA6343E93DD412B430FDE4293898F7867481736DA73A7D2222FC3447B2A73 8 anyprotect

zoo %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\ROAMING\WFXAEYOS5YD23.EXE
addsgn 1A417F9B5583338CF42BFB3A889E99702D0F0A8E8012FB7184C3FE8C2CD199972A16C3DC0EBD53402A800F9BF648143928540424BD0BEE2C2DFC54AA317325CB 8 Trojan.Crossrider1.27575 [DrWeb]

zoo %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\LOCAL\GMSD_RU_005010020\DOWNLOAD\MYOFFERGROUP_RU.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F962327C7605F7AD193C3A5434498EB3CB1063A8C1BD3BF6D47F6C8EAFE9B6120535178D661AE544E4DBE42FA3F91217 19 Tuto4PC.com

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1435921692&Z=461C508B468CA001E82A84FGDZCC1WATAO0GEQ1T9B&FROM=CMI&UID=SAMSUNGXHD642JJ_S1AFJ1NQA05391

delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1435921692&Z=461C508B468CA001E82A84FGDZCC1WATAO0GEQ1T9B&FROM=CMI&UID=SAMSUNGXHD642JJ_S1AFJ1NQA05391&Q={SEARCHTERMS}

delref %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\ROAMING\0BD9B272-1435920918-015F-DEE9-382C4AB55E04\KNSU6533.TMP

delref %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\ROAMING\0BD9B272-1435920918-015F-DEE9-382C4AB55E04\HNSZBB4.TMP

delref %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\ROAMING\0BD9B272-1435920918-015F-DEE9-382C4AB55E04\JNSEBB61.TMP

delref %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BFAOHPMJMHDGNJBLOJEKJLNADHEHIADJ\1.26.57_0\CIPLUS-4.5VV02.07

delref HTTP:\\WWW.MYSTARTSEARCH.COM\?TYPE=SC&TS=1435921692&Z=461C508B468CA001E82A84FGDZCC1WATAO0GEQ1T9B&FROM=CMI&UID=SAMSUNGXHD642JJ_S1AFJ1NQA05391

regt 28
regt 29
; Crossbrowse
exec  C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\39.6.2171.95\Installer\setup.exe" --uninstall --system-level

deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV04.07

deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV02.07

deldirex %SystemDrive%\PROGRAM FILES (X86)\CROSSBROWSE\CROSSBROWSE\APPLICATION

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE

deldirex %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\LOCAL\SMARTWEB

deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

Badboy1 07.07.2015 13:44
safety, Дата оказывается сбита, не знаю почему, образ сегодня создал)

---------- Добавлено в 12:41 ---------- Предыдущее сообщение было написано в 12:29 ----------

safety, Вроде помогло!) Перестало перекидывать на левые сайты, в ВК стали открываться сообщения. Один-два левых процесса в диспетчере правда висят(какой-то инсталл, в описании написано goodmorning) , но они убиваются, правда не знаю, опасны ли они. Перестал при загрузке появляться этот crossbrowser. Пока вроде все, если появятся еще, сообщу.

---------- Добавлено в 12:44 ---------- Предыдущее сообщение было написано в 12:41 ----------

Наконец-то смог удалить папки с этими файлами подозрительными, до этого не удалаялись, говорилось, что системные) Спасибо огромное, дай Бог Вам здоровья) Еще что-то нужно сделать?

safety 07.07.2015 14:38
это обязательно надо сделать

Цитата:
далее,
выполните сканирование (угроз) в Malwarebytes

Badboy1 07.07.2015 16:28
safety, http://rghost.ru/6wfhQ5R5g вот

Badboy1 07.07.2015 23:16
Вверх!))

safety 08.07.2015 06:24
2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

Badboy1 08.07.2015 22:34
отчет АДВКЛИНЕРА http://rghost.ru/8rShMjppn
FRST: Addition.txt http://rghost.ru/6KwljcRrR
FRST.txt http://rghost.ru/78QJ2vfDh

RP55.RP55 08.07.2015 22:51
1) в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее.

2) Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Код:
 
         
Task: {13789AFB-7F2C-45F8-AF3C-A5152E3A835F} - \WordShark Auto Updater 1.10.0.19 Core No Task File <==== ATTENTION
Task: {5B241677-0EC2-4D93-96AD-2E109DC06998} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\21.7.0.11\WSCStub.exe [2015-03-07] (Symantec Corporation)
Task: {84BAAE46-FB62-4C03-A35E-5E794736C6AD} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask No Task File <==== ATTENTION
Task: {B8A328C5-0116-4A73-8AC2-A336022D2A26} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask No Task File <==== ATTENTION
Task: {DC84CAB7-1211-449D-80A7-EC38B8281E32} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask No Task File <==== ATTENTION
Task: {F65D36E7-39C3-4D61-BC35-826DD6B2E7F1} - \WordShark Auto Updater 1.10.0.19 Pending Update No Task File <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:

Badboy1 08.07.2015 23:50
RP55.RP55, http://rghost.ru/7LzHDGRMz

---------- Добавлено в 22:50 ---------- Предыдущее сообщение было написано в 22:50 ----------

В адвклинере уже делал такую операцию, делать еще раз?

RP55.RP55 08.07.2015 23:59
АдвКлинере - достаточно один раз выполнить.

Проблема решена ?

Badboy1 09.07.2015 01:12
RP55.RP55, Да, левых процессов нет, рекламы нет, на всякий случай поставил AdBlock plus, спокойнее будет) Спасибо огромное вам! Без вас прям никуда!)) Добра ВАм!)

---------- Добавлено в 00:12 ---------- Предыдущее сообщение было написано в 00:07 ----------

И если возможно, то как я смогу материально и вас, RP55.RP55, и Safety, отблагодарить? Хотя бы пополнить баланс) Считаю, что любая полезная работа должна оплачиваться)


Текущее время: 09:53. Часовой пояс GMT +4.
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2026, vBulletin Solutions, Inc. Перевод: zCarot
Copyright ©2007-2016, PCHelpForum.ru.