Подхватил какую-то фигню)

Badboy1 · 06.07.2015, 16:57

Доброго времени суток. Вообщем, качал нужную мне программу и подхватил такую фигню: установилось дофига левых программ (браузер какой-то Crossbrowser, еще какие-то Infonaut и т.д.) Пытался деинсталлировать Uninstalltool`ом, вручную удалить, через тотал коммандер - не вышло. Чистил AVZ, находил подозрительные файлы, но не более, чистил Авастом, нашел около 30 вирусов, удалил, но проблема осталась. В диспетчере задача левые процессы. Пытался сделать лог автозапуска через UVS, выкидывает с ошибкой,:"Прекращена работа "и тут в кавычка разные буквы, всегда новые) Что делать? Все время просить установить какую-то хрень, обновить какую-то хрень. Чтоб у авторов этойхрени отсохли руки и их "хозяйство". Достали! Помогите пожалуйста. Заранее благодарю

safety · 06.07.2015, 17:02

добавьте образ автозапуска,
пробуйте сделать из безопасного режима, актуальной версией 3.85.25
http://pchelpforum.ru/showpost.php?p=293738&postcount=2

Badboy1 · 07.07.2015, 11:58

safety, http://rghost.ru/8hMV9PZkq
Еще заметил, что в ВК не открывает диалоги, аудио и видео.

safety · 07.07.2015, 12:45

Badboy1,
а что там с датой? уже вторая неделя прошла со дня создания образа. многое могло измениться за это время.

safety · 07.07.2015, 12:54

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV04.07\8D1F3819-459A-4584-907D-BFF77A0F32D0-1-6.EXE
addsgn 1AC52D9B55834C720BD4C4A50C48305725629F6389FAF7F9E4C3C5B3E7261B4ECBAB9A563E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Trojan.Crossrider1.16093 [DrWeb]

zoo %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\LOCAL\GMSD_RU_005010020\UPGMSD_RU_005010020.EXE
addsgn 1A77CD9A5583C58CF42B95BC544B7C0550880F3560D8A4788548043F30D2718B2347CB3E3E93DD412B430F60139DA571BC54A57A92DAE02444772F264E4E26B5 8 Adware.Downware.10601 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV04.07\8D1F3819-459A-4584-907D-BFF77A0F32D0-1-7.EXE
addsgn 1A3A779B5583338CF42B627DA804DEC9E946303A4571535C899440755F52E34C23179504B58C163D0F947359451649FAF6A3CC6220D171C52F7821AAC7062298 8 Win32/Toolbar.CrossRider

zoo %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV04.07\8D1F3819-459A-4584-907D-BFF77A0F32D0-7.EXE
zoo %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\LOCAL\15563\UPDATER.EXE
addsgn 1ABF639B5583C58CF42B254E3143FE6F2FE0FC09FCF2F77B92C2C53F94DA2C8FA8E896DCD2AAE845418AEE9FB963411268C8E972D61EA071EEFC5B7A4CEA7F9A 8 Win32/Amonetize

zoo %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\ANYPROTECT.EXE
addsgn 1A74EF9A5583C58CF42B95BC14B97A0550880F3560E586788548043F30D2718B238FA6343E93DD412B430FDE4293898F7867481736DA73A7D2222FC3447B2A73 8 anyprotect

zoo %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\ROAMING\WFXAEYOS5YD23.EXE
addsgn 1A417F9B5583338CF42BFB3A889E99702D0F0A8E8012FB7184C3FE8C2CD199972A16C3DC0EBD53402A800F9BF648143928540424BD0BEE2C2DFC54AA317325CB 8 Trojan.Crossrider1.27575 [DrWeb]

zoo %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\LOCAL\GMSD_RU_005010020\DOWNLOAD\MYOFFERGROUP_RU.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F962327C7605F7AD193C3A5434498EB3CB1063A8C1BD3BF6D47F6C8EAFE9B6120535178D661AE544E4DBE42FA3F91217 19 Tuto4PC.com

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1435921692&Z=461C508B468CA001E82A84FGDZCC1WATAO0GEQ1T9B&FROM=CMI&UID=SAMSUNGXHD642JJ_S1AFJ1NQA05391

delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1435921692&Z=461C508B468CA001E82A84FGDZCC1WATAO0GEQ1T9B&FROM=CMI&UID=SAMSUNGXHD642JJ_S1AFJ1NQA05391&Q={SEARCHTERMS}

delref %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\ROAMING\0BD9B272-1435920918-015F-DEE9-382C4AB55E04\KNSU6533.TMP

delref %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\ROAMING\0BD9B272-1435920918-015F-DEE9-382C4AB55E04\HNSZBB4.TMP

delref %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\ROAMING\0BD9B272-1435920918-015F-DEE9-382C4AB55E04\JNSEBB61.TMP

delref %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BFAOHPMJMHDGNJBLOJEKJLNADHEHIADJ\1.26.57_0\CIPLUS-4.5VV02.07

delref HTTP:\\WWW.MYSTARTSEARCH.COM\?TYPE=SC&TS=1435921692&Z=461C508B468CA001E82A84FGDZCC1WATAO0GEQ1T9B&FROM=CMI&UID=SAMSUNGXHD642JJ_S1AFJ1NQA05391

regt 28
regt 29
; Crossbrowse
exec  C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\39.6.2171.95\Installer\setup.exe" --uninstall --system-level

deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV04.07

deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV02.07

deldirex %SystemDrive%\PROGRAM FILES (X86)\CROSSBROWSE\CROSSBROWSE\APPLICATION

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE

deldirex %SystemDrive%\USERS\ROCK AND ROLL\APPDATA\LOCAL\SMARTWEB

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

Badboy1 · 07.07.2015, 13:44

safety, Дата оказывается сбита, не знаю почему, образ сегодня создал)

---------- Добавлено в 12:41 ---------- Предыдущее сообщение было написано в 12:29 ----------

safety, Вроде помогло!) Перестало перекидывать на левые сайты, в ВК стали открываться сообщения. Один-два левых процесса в диспетчере правда висят(какой-то инсталл, в описании написано goodmorning) , но они убиваются, правда не знаю, опасны ли они. Перестал при загрузке появляться этот crossbrowser. Пока вроде все, если появятся еще, сообщу.

---------- Добавлено в 12:44 ---------- Предыдущее сообщение было написано в 12:41 ----------

Наконец-то смог удалить папки с этими файлами подозрительными, до этого не удалаялись, говорилось, что системные) Спасибо огромное, дай Бог Вам здоровья) Еще что-то нужно сделать?

safety · 07.07.2015, 14:38

это обязательно надо сделать

Цитата:

далее,
выполните сканирование (угроз) в Malwarebytes

Badboy1 · 07.07.2015, 16:28

safety, http://rghost.ru/6wfhQ5R5g вот

Badboy1 · 07.07.2015, 23:16

Вверх!))

safety · 08.07.2015, 06:24

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

Badboy1 · 08.07.2015, 22:34

отчет АДВКЛИНЕРА http://rghost.ru/8rShMjppn
FRST: Addition.txt http://rghost.ru/6KwljcRrR
FRST.txt http://rghost.ru/78QJ2vfDh

RP55.RP55 · 08.07.2015, 22:51

1) в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее.

2) Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

  
          
Task: {13789AFB-7F2C-45F8-AF3C-A5152E3A835F} - \WordShark Auto Updater 1.10.0.19 Core No Task File <==== ATTENTION
Task: {5B241677-0EC2-4D93-96AD-2E109DC06998} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\21.7.0.11\WSCStub.exe [2015-03-07] (Symantec Corporation)
Task: {84BAAE46-FB62-4C03-A35E-5E794736C6AD} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask No Task File <==== ATTENTION
Task: {B8A328C5-0116-4A73-8AC2-A336022D2A26} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask No Task File <==== ATTENTION
Task: {DC84CAB7-1211-449D-80A7-EC38B8281E32} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask No Task File <==== ATTENTION
Task: {F65D36E7-39C3-4D61-BC35-826DD6B2E7F1} - \WordShark Auto Updater 1.10.0.19 Pending Update No Task File <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:

Badboy1 · 08.07.2015, 23:50

RP55.RP55, http://rghost.ru/7LzHDGRMz

---------- Добавлено в 22:50 ---------- Предыдущее сообщение было написано в 22:50 ----------

В адвклинере уже делал такую операцию, делать еще раз?

RP55.RP55 · 08.07.2015, 23:59

АдвКлинере - достаточно один раз выполнить.

Проблема решена ?

Badboy1 · 09.07.2015, 01:12

RP55.RP55, Да, левых процессов нет, рекламы нет, на всякий случай поставил AdBlock plus, спокойнее будет) Спасибо огромное вам! Без вас прям никуда!)) Добра ВАм!)

---------- Добавлено в 00:12 ---------- Предыдущее сообщение было написано в 00:07 ----------

И если возможно, то как я смогу материально и вас, RP55.RP55, и Safety, отблагодарить? Хотя бы пополнить баланс) Считаю, что любая полезная работа должна оплачиваться)

06.07.2015, 16:57	#1
Badboy1 Новичок Регистрация: 01.01.2011 Сообщений: 275 Репутация: 7	Подхватил какую-то фигню) Доброго времени суток. Вообщем, качал нужную мне программу и подхватил такую фигню: установилось дофига левых программ (браузер какой-то Crossbrowser, еще какие-то Infonaut и т.д.) Пытался деинсталлировать Uninstalltool`ом, вручную удалить, через тотал коммандер - не вышло. Чистил AVZ, находил подозрительные файлы, но не более, чистил Авастом, нашел около 30 вирусов, удалил, но проблема осталась. В диспетчере задача левые процессы. Пытался сделать лог автозапуска через UVS, выкидывает с ошибкой,:"Прекращена работа "и тут в кавычка разные буквы, всегда новые) Что делать? Все время просить установить какую-то хрень, обновить какую-то хрень. Чтоб у авторов этойхрени отсохли руки и их "хозяйство". Достали! Помогите пожалуйста. Заранее благодарю

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Подхватил spy.voltar.a	paladin0012	Безопасность	4	16.10.2012 01:40
И мой браузер завиксировал всякую фигню и не хочет нормально работать	Bekart	Безопасность	1	22.07.2011 00:28
не подскажите одну фигню?	Мне нужна ваша помощь	Безопасность	2	16.06.2011 17:15
Какую любите музыку и какую терпеть даже не можете	Sybreed	Общение по интересам	1	18.01.2011 12:23
Как в звере убрать ту фигню из висты?	2611199_	Windows XP	16	01.02.2010 00:00

06.07.2015, 17:02	#2
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	добавьте образ автозапуска, пробуйте сделать из безопасного режима, актуальной версией 3.85.25 http://pchelpforum.ru/showpost.php?p=293738&postcount=2

07.07.2015, 11:58	#3
Badboy1 Новичок Регистрация: 01.01.2011 Сообщений: 275 Репутация: 7	safety, http://rghost.ru/8hMV9PZkq Еще заметил, что в ВК не открывает диалоги, аудио и видео.

07.07.2015, 12:45	#4
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	Badboy1, а что там с датой? уже вторая неделя прошла со дня создания образа. многое могло измениться за это время.

07.07.2015, 13:44	#6
Badboy1 Новичок Регистрация: 01.01.2011 Сообщений: 275 Репутация: 7	safety, Дата оказывается сбита, не знаю почему, образ сегодня создал) ---------- Добавлено в 12:41 ---------- Предыдущее сообщение было написано в 12:29 ---------- safety, Вроде помогло!) Перестало перекидывать на левые сайты, в ВК стали открываться сообщения. Один-два левых процесса в диспетчере правда висят(какой-то инсталл, в описании написано goodmorning) , но они убиваются, правда не знаю, опасны ли они. Перестал при загрузке появляться этот crossbrowser. Пока вроде все, если появятся еще, сообщу. ---------- Добавлено в 12:44 ---------- Предыдущее сообщение было написано в 12:41 ---------- Наконец-то смог удалить папки с этими файлами подозрительными, до этого не удалаялись, говорилось, что системные) Спасибо огромное, дай Бог Вам здоровья) Еще что-то нужно сделать?

07.07.2015, 16:28	#8
Badboy1 Новичок Регистрация: 01.01.2011 Сообщений: 275 Репутация: 7	safety, http://rghost.ru/6wfhQ5R5g вот

07.07.2015, 23:16	#9
Badboy1 Новичок Регистрация: 01.01.2011 Сообщений: 275 Репутация: 7	Вверх!))

08.07.2015, 06:24	#10
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	2.удалите все найденное в малваребайт перегрузите систему далее, 3.сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672 *** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить** далее, 5.сделайте проверку в FRST http://pchelpforum.ru/f26/t24207/2/#post1257991

08.07.2015, 22:34	#11
Badboy1 Новичок Регистрация: 01.01.2011 Сообщений: 275 Репутация: 7	отчет АДВКЛИНЕРА http://rghost.ru/8rShMjppn FRST: Addition.txt http://rghost.ru/6KwljcRrR FRST.txt http://rghost.ru/78QJ2vfDh

08.07.2015, 23:50	#13
Badboy1 Новичок Регистрация: 01.01.2011 Сообщений: 275 Репутация: 7	RP55.RP55, http://rghost.ru/7LzHDGRMz ---------- Добавлено в 22:50 ---------- Предыдущее сообщение было написано в 22:50 ---------- В адвклинере уже делал такую операцию, делать еще раз?

08.07.2015, 23:59	#14
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	АдвКлинере - достаточно один раз выполнить. Проблема решена ?

Ads

09.07.2015, 01:12	#15
Badboy1 Новичок Регистрация: 01.01.2011 Сообщений: 275 Репутация: 7	RP55.RP55, Да, левых процессов нет, рекламы нет, на всякий случай поставил AdBlock plus, спокойнее будет) Спасибо огромное вам! Без вас прям никуда!)) Добра ВАм!) ---------- Добавлено в 00:12 ---------- Предыдущее сообщение было написано в 00:07 ---------- И если возможно, то как я смогу материально и вас, RP55.RP55, и Safety, отблагодарить? Хотя бы пополнить баланс) Считаю, что любая полезная работа должна оплачиваться)

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)