Вирусные атаки в 15:20 ежедневно

Описание: Любые вопросы касающиеся компьютерной безопасности. Обсуждение антивирусов, фаерволов, а также помощь в лечении компьютера.
Правила раздела: http://pc-forums.ru/topic1880.html
Модератор: Junior

#1 Fertern » 30.07.2016, 15:41

Скачал неделю назад одну програмку с плейграунда,и после ее запуска мне скачался набор самоубийцы:Амиго,маил сру апдейтер,захар браузер и так далее,так же реклама на весь экран
Я скачал Revo Uninstaller,уадлил все,потом сидел и удалял файлы маил ру из реестра
Вроде норм
На следующий день мой комп начал самопроизвольно выключаться,загурзка диса 100% даже если ничего не запущено
Потом в 15:20 идет лаг,и за секунд 10 устанавливаеться опять маил ру,амиго,и реклама на весь екран,все лагает,я сделал тоже самое что и в прошлый раз,чистил реестр,удалял с рево.
И короче так продолжаеться по сей день
В одно и тоже время мнгновенно все устанавливаеться без моего ведома
Остановить можно толькое сли в 15:19 залесть в диспетчер задач и снять задачу маил ру,которая начинает проявляться
Антивирус комодо угроз не видит,антивирус на видне 10 дефолтный тоже,даже аплокер ничего почему то не делает
Помогите(((( :help:
Fertern
Автор темы, Новичок форума
Новичок форума
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 3
Темы: 1
Зарегистрирован: 30.07.2016
С нами: 4 месяца 7 дней

Вирусные атаки в 15:20 ежедневно

 

#2 stalker78yd » 30.07.2016, 15:47

Fertern писал(а):Остановить можно толькое сли в 15:19 залесть в диспетчер задач и снять задачу маил ру,которая начинает проявляться
а в планировщике заданий не смотрели ?
Инструкция по борьбе с вирусами
Как сделать лог FRST (Farbar Recovery Scan Tool)
stalker78yd M
Эксперт
Эксперт
Аватара
Возраст: 38
Откуда: 4ый энергоблок
Репутация: 1062
Лояльность: 193 (+196/−3)
Сообщения: 9937
Темы: 7
Зарегистрирован: 14.07.2014
С нами: 2 года 4 месяца

 

#3 Junior » 30.07.2016, 15:52

Fertern писал(а):Антивирус комодо угроз не видит,антивирус на видне 10 дефолтный тоже,
А они и не увидят, тоже, нашли средство.
Родители! Оградите своих детей от интернета! Интернет от них тупеет! :crazy:
DrWeb, халява на три месяца - перейти по ссылке
Junior M В сети
Главные модераторы
Главные модераторы
Аватара
Откуда: Из страны пионЭров с отверткой.
Репутация: 1162
Лояльность: 3 (+186/−183)
Сообщения: 16630
Темы: 33
Зарегистрирован: 23.02.2012
С нами: 4 года 9 месяцев

#4 Fertern » 30.07.2016, 16:14

В планировщике только User_Feed_Synchronization-{8F20F442-62C7-4EAC-9DC6-27462074A773}
Больше ничего
Что же делать?

Добавлено спустя 15 минут 23 секунды:
Как сделать лог FRST (Farbar Recovery Scan Tool)[/quote]

Сделаллог,как его сюда прикрепить то?Тут только кнопка добавить картинку в сообщение
Fertern
Автор темы, Новичок форума
Новичок форума
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 3
Темы: 1
Зарегистрирован: 30.07.2016
С нами: 4 месяца 7 дней

 

#5 stalker78yd » 30.07.2016, 17:05

stalker78yd M
Эксперт
Эксперт
Аватара
Возраст: 38
Откуда: 4ый энергоблок
Репутация: 1062
Лояльность: 193 (+196/−3)
Сообщения: 9937
Темы: 7
Зарегистрирован: 14.07.2014
С нами: 2 года 4 месяца

#6 Fertern » 30.07.2016, 19:13

Fertern
Автор темы, Новичок форума
Новичок форума
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 3
Темы: 1
Зарегистрирован: 30.07.2016
С нами: 4 месяца 7 дней

 

#7 Junior » 30.07.2016, 19:20

Кое что из приобретённого курит поубивал бы. А установленный ДрВеб убил бы в процессе скачивания, или установки.
Родители! Оградите своих детей от интернета! Интернет от них тупеет! :crazy:
DrWeb, халява на три месяца - перейти по ссылке
Junior M В сети
Главные модераторы
Главные модераторы
Аватара
Откуда: Из страны пионЭров с отверткой.
Репутация: 1162
Лояльность: 3 (+186/−183)
Сообщения: 16630
Темы: 33
Зарегистрирован: 23.02.2012
С нами: 4 года 9 месяцев

#8 looki » 31.07.2016, 17:14

Сделайте,пожалуйста еще лог avz

Добавлено спустя 1 час 54 минуты:
Создайте точку восстановления.

Создайте текстовый файл
fixlist.txt
в папке с FRST,рядом с файлом FRST.exe скопируйте в него код ниже и сохраните в кодировке юникод:
Код: Выделить всё
start
CreateRestorePoint:
Task: {07935CAE-F038-4CF9-9C8C-B150D324D44D} - System32\Tasks\Microsoft\Windows\Apps\UpService => C:\ProgramData\InstallChecker\InstallChecker.exe <==== ATTENTION
C:\ProgramData\InstallChecker\InstallChecker.exe
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
C:\Users\4561~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
AlternateDataStreams: C:\'lpkpok.jpg:$CmdZnID [26]
AlternateDataStreams: C:\01718552.jpg:$CmdZnID [26]
AlternateDataStreams: C:\220px-Ectopistes_migratoriusFCN2P29CA.jpg:$CmdZnID [26]
AlternateDataStreams: C:\250px-Pallas_Sea_Cow.jpg:$CmdZnID [26]
AlternateDataStreams: C:\265px-Em_-_Hydrodamalis_gigas_model.jpg:$CmdZnID [26]
AlternateDataStreams: C:\Bird_lore_(1913)_(14562557107).jpg:$CmdZnID [26]
AlternateDataStreams: C:\D22222222222.jpg:$CmdZnID [26]
AlternateDataStreams: C:\dddawwww.jpg:$CmdZnID [26]
AlternateDataStreams: C:\h0rsed.htm:$CmdZnID [26]
AlternateDataStreams: C:\h0rsedd.htm:$CmdTcID [64]
AlternateDataStreams: C:\h0rsedd.htm:$CmdZnID [26]
AlternateDataStreams: C:\h0rsedd1.jpg:$CmdZnID [26]
AlternateDataStreams: C:\horseDD.jpg:$CmdZnID [26]
AlternateDataStreams: C:\imgres.htm:$CmdZnID [26]
AlternateDataStreams: C:\maxresdefault (1).jpg:$CmdZnID [26]
AlternateDataStreams: C:\maxresdefault.jpg:$CmdZnID [26]
AlternateDataStreams: C:\popopop.jpg:$CmdZnID [26]
AlternateDataStreams: C:\ssssssssss.htm:$CmdZnID [26]
AlternateDataStreams: C:\Изображение 037.jpg:$CmdZnID [26]
AlternateDataStreams: C:\Первая_могила_Тараса_Шевченко.jpg:$CmdZnID [26]
AlternateDataStreams: C:\Users\Мирослав\Downloads\RevoUninProSetup.exe:$CmdZnID [26]
AlternateDataStreams: C:\Users\Мирослав\Downloads\TerrariaInvEdit.62 (1).exe:$CmdZnID [29]
127.0.0.1       down.baidu2016.com
127.0.0.1       123.sogou.com
127.0.0.1       www.czzsyzgm.com
127.0.0.1       www.czzsyzxl.com
127.0.0.1       union.baidu2019.com
127.0.0.1       down.baidu2016.com
127.0.0.1       123.sogou.com
127.0.0.1       www.czzsyzgm.com
127.0.0.1       www.czzsyzxl.com
127.0.0.1       union.baidu2019.com
C:\Users\Мирослав\Pictures\xyTJ7aPL1tM.jpg
HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
File: C:\Windows\run.vbs
File: C:\Program Files (x86)\mpck\wincom_BV9.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.zingload.com/?type=ll&uid=f55892e0-7ff4-4309-b524-b3ca04a47881
CHR Extension: (No Name) - C:\Users\Мирослав\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-07-27]
CHR Extension: (No Name) - C:\Users\Мирослав\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-07-27]
CHR Extension: (No Name) - C:\Users\Мирослав\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-07-27]
CHR Extension: (No Name) - C:\Users\Мирослав\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-07-27]
CHR Extension: (No Name) - C:\Users\Мирослав\AppData\Local\Google\Chrome\User Data\Default\Extensions\leenkjhmbcgekojlkimcbodmniopgfnp [2016-07-27]
CHR Extension: (No Name) - C:\Users\Мирослав\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-07-27]
CHR HKU\S-1-5-21-2115935335-669040187-2427457074-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.zingload.com/?type=ll&uid=f55892e0-7ff4-4309-b524-b3ca04a47881
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
S2 saiyitechnology; C:\ProgramData\yahoochrome_D\desktop287.exe [X]
S2 wefunohizbt; C:\Program Files (x86)\03000200-1469710437-0500-0006-000700080009\knsgA6BA.tmp [X]
S2 wygyxuduzbt; C:\Program Files (x86)\03000200-1469796651-0500-0006-000700080009\knsz4C0F.tmpfs [X]
C:\Program Files (x86)\03000200-1469710437-0500-0006-000700080009
2016-07-30 15:24 - 2016-07-30 15:24 - 00000000 ____D C:\Users\Мирослав\AppData\Local\Amigo
2016-07-29 15:37 - 2016-07-29 15:37 - 00002311 _____ C:\Users\Мирослав\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
2016-07-29 15:37 - 2016-07-29 15:37 - 00002303 _____ C:\Users\Мирослав\Desktop\Амиго.lnk
2016-07-28 16:11 - 2016-07-29 15:47 - 00000000 ____D C:\extensions
2016-07-28 16:11 - 2016-07-28 16:11 - 00000000 ____D C:\Users\Мирослав\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
2016-07-28 16:03 - 2016-07-17 06:03 - 01609728 _____ C:\Users\Мирослав\AppData\Roaming\crfeaDlr.exe
2016-07-28 16:03 - 2016-07-01 12:19 - 08284704 _____ (深圳市伟创科技软件有限公司) C:\Users\Мирослав\AppData\Roaming\MaoHaWiFiSetup_262.exe
2016-07-28 16:02 - 2016-07-06 08:10 - 01609728 _____ C:\Users\Мирослав\AppData\Roaming\YoyNotepad.exe
2016-07-28 16:01 - 2016-07-11 12:34 - 01608704 _____ C:\Users\Мирослав\AppData\Roaming\InstallDingjDlr.exe
2016-07-28 16:01 - 2016-07-06 10:49 - 01613824 _____ C:\Users\Мирослав\AppData\Roaming\YellowSend.exe
2016-07-28 16:00 - 2016-07-28 16:00 - 00000000 ____D C:\Users\Мирослав\AppData\Local\tuto_monetize_120160726
2016-07-28 16:00 - 2016-07-26 09:33 - 01615872 _____ C:\Users\Мирослав\AppData\Roaming\kpzip.exe
2016-07-28 15:59 - 2016-07-28 15:59 - 00000000 ___HD C:\Program Files (x86)\w7kD584
2016-07-28 15:59 - 2016-07-05 08:58 - 09216000 _____ (eee) C:\Users\Мирослав\AppData\Roaming\THREADAPP.exe
2016-07-28 15:59 - 2016-02-18 11:10 - 05267952 _____ () C:\Users\Мирослав\AppData\Roaming\ziptool_wc-9015_setup.exe
2016-07-28 15:58 - 2016-07-28 15:58 - 00000000 ____D C:\Users\Мирослав\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
2016-07-28 15:58 - 2016-07-13 05:29 - 00344576 _____ C:\Users\Мирослав\AppData\Roaming\RandomDelJiheReg.exe
2016-07-28 15:56 - 2016-07-28 19:34 - 00000000 ____D C:\Users\Мирослав\AppData\Local\Apps\2.0
2016-07-28 15:56 - 2016-07-28 15:59 - 00000000 ____D C:\Users\Мирослав\AppData\Local\hiwalyjutivesp
2016-07-27 20:27 - 2016-07-27 20:27 - 00000000 _____ C:\Windows\System32\Tasks\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}
2016-07-20 14:23 - 2016-07-20 14:23 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2016-07-20 14:22 - 2016-07-27 19:17 - 00000000 ____D C:\Users\Мирослав\AppData\Roaming\IObit
2016-06-28 04:12 - 2016-06-28 04:12 - 00314434 ____N C:\Users\Мирослав\AppData\Roaming\EYapp.apk
2016-04-26 15:24 - 2016-04-26 15:24 - 0000009 ____N () C:\Users\Мирослав\AppData\Roaming\a.bat
2010-08-28 23:43 - 2010-08-28 23:43 - 0577335 ____N () C:\Users\Мирослав\AppData\Roaming\adb.exe
2010-08-28 23:43 - 2010-08-28 23:43 - 0096256 ____N (Google, inc) C:\Users\Мирослав\AppData\Roaming\AdbWinApi.dll
2010-08-28 23:43 - 2010-08-28 23:43 - 0060928 ____N (Google, inc) C:\Users\Мирослав\AppData\Roaming\AdbWinUsbApi.dll
2016-07-28 16:03 - 2016-07-17 06:03 - 1609728 _____ () C:\Users\Мирослав\AppData\Roaming\crfeaDlr.exe
2016-06-28 04:12 - 2016-06-28 04:12 - 0314434 ____N () C:\Users\Мирослав\AppData\Roaming\EYapp.apk
2010-08-28 23:43 - 2010-08-28 23:43 - 0356009 ____N () C:\Users\Мирослав\AppData\Roaming\fastboot.exe
2016-07-28 16:01 - 2016-07-11 12:34 - 1608704 _____ () C:\Users\Мирослав\AppData\Roaming\InstallDingjDlr.exe
2016-07-28 16:00 - 2016-07-26 09:33 - 1615872 _____ () C:\Users\Мирослав\AppData\Roaming\kpzip.exe
2016-07-28 16:03 - 2016-07-01 12:19 - 8284704 _____ (深圳市伟创科技软件有限公司) C:\Users\Мирослав\AppData\Roaming\MaoHaWiFiSetup_262.exe
2016-07-28 15:58 - 2016-07-13 05:29 - 0344576 _____ () C:\Users\Мирослав\AppData\Roaming\RandomDelJiheReg.exe
2016-07-26 15:31 - 2016-07-28 16:00 - 7616340 _____ () C:\Users\Мирослав\AppData\Roaming\setup.apk
2016-07-28 15:59 - 2016-07-05 08:58 - 9216000 _____ (eee) C:\Users\Мирослав\AppData\Roaming\THREADAPP.exe
2016-07-26 15:31 - 2016-07-28 16:00 - 0732869 _____ () C:\Users\Мирослав\AppData\Roaming\xdo.zip
2016-07-28 16:01 - 2016-07-06 10:49 - 1613824 _____ () C:\Users\Мирослав\AppData\Roaming\YellowSend.exe
2016-07-28 16:02 - 2016-07-06 08:10 - 1609728 _____ () C:\Users\Мирослав\AppData\Roaming\YoyNotepad.exe
2016-07-28 15:59 - 2016-02-18 11:10 - 5267952 _____ () C:\Users\Мирослав\AppData\Roaming\ziptool_wc-9015_setup.exe
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder\Zaxar Games Browser.lnk
DeleteKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\SpaceSoundPro
EmptyTemp:
Reboot:
end




Исправьте этой программой ярлыки:
Код: Выделить всё
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\4561~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Public\Desktop\Black Mesa.lnk -> C:\Black Mesa\Launcher.exe () -> hxxp://www.zingload.com/?type=ll&uid=f55892e0-7ff4-4309-b524-b3ca04a47881
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\4561~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\4561~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Мирослав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\4561~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Мирослав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\4561~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc


Найдите в реестре
HKU\S-1-5-21-2115935335-669040187-2427457074-1001\Control Panel\Desktop\\Wallpaper
И удалите значение Wallpaper

Сделайте лог adwcleaner
looki F
Житель форума
Житель форума
Репутация: 85
Лояльность: 87 (+88/−1)
Сообщения: 817
Темы: 3
Зарегистрирован: 12.11.2014
С нами: 2 года

 


  • Понравилась тема? Поделись с друзьями!

Вернуться в Безопасность компьютера

 


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение