Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
Карта форума Темы раздела Блоги Сообщество Поиск Заказать работу  
 
 
Рейтинг 4.72/18: Рейтинг темы: голосов - 18, средняя оценка - 4.72
0 / 0 / 1
Регистрация: 30.09.2013
Сообщений: 27
1

В диспетчере подозрительные процессы

08.02.2017, 18:11. Показов 3386. Ответов 24
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
Здравствуйте. С недавних пор в диспетчере начали появляются процессы которых раньше не видел, расположение которых показывает на папку Windows/SystemWOW64. После применения снятия задач на них, из папки расположения исчезают и появляются снова при включении ноута. Скажите, что это за процессы, в поисковиках ничего нет про них.
P.S. Иногда еще появляется какой-то "archer " c той же эмблемой
В диспетчере подозрительные процессы
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
08.02.2017, 18:11
Ответы с готовыми решениями:

Подозрительные процессы в диспетчере.
Здравствуйте. Заражен сетевым червем. Помогите, пожалуйста, избавиться от него.

Подозрительные процессы в диспетчере задач
Доброго времени суток. Есть две машины: десктоп и ноут Lenovo Z575, в диспетчере задач обеих...

Подозрительные процессы в диспетчере задач
Сегодня появились 3 процесса: igfxsrvc.exe (C:\Users\Darth Nero\AppData\Local\Temp\Adobe) никаких...

Подозрительные процессы в диспетчере задач ноутбука
Доброго времени суток! Ноутбук Lenovo Z575, в диспетчере задач наблюдаются подозрительные процессы...

24
Модератор
Эксперт Windows
8740 / 3365 / 244
Регистрация: 25.10.2010
Сообщений: 13,601
08.02.2017, 18:35 2
Цитата Сообщение от Алексей961 Посмотреть сообщение
archer
Archer.dll, GubZL.dll
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
0
0 / 0 / 1
Регистрация: 30.09.2013
Сообщений: 27
08.02.2017, 19:46  [ТС] 3
При клике на расположение файла, выделяет SystemWOW64/svchost.exe
CollectionLog-2017.02.08-19.42.zip
0
Вирусоборец
13268 / 7392 / 1564
Регистрация: 06.09.2009
Сообщений: 26,955
11.02.2017, 15:05 4
Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('mwescontroller', 4);
 QuarantineFile('C:\Users\HP\appdata\roaming\mydesktop\linkme.exe','');
 QuarantineFile('http:\api.mhttxtv.com\hgstxhts541075a9e680_ja1100a1g7l0ekg7l0ekx.exe','');
 QuarantineFile('C:\Users\HP\AppData\Roaming\WinSnare\WinSnare.dll','');
 QuarantineFile('C:\ProgramData\WinSAPSvc\WinSAP.dll','');
 QuarantineFile('C:\Program Files (x86)\WinArcher\Archer.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ccnfd_1_10_0_2.sys','');
 QuarantineFile('C:\Program Files\My Web Shield\mweshieldup.exe','');
 QuarantineFile('C:\Program Files\My Web Shield\mweshield.exe','');
 QuarantineFile('C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe','');
 QuarantineFile('C:\Program Files (x86)\amuleCe\ed2k.exe','');
 QuarantineFile('C:\Program Files\1b01e1ffaf3d3800dc9041a5465f3fbc\5ec5f29766f53646d6a3847b5449a780.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\mwescontroller.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\mwescontroller.sys','32');
 DeleteFile('C:\Program Files\1b01e1ffaf3d3800dc9041a5465f3fbc\5ec5f29766f53646d6a3847b5449a780.exe','32');
 DeleteFile('C:\Program Files (x86)\amuleCe\ed2k.exe','32');
 DeleteFile('C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe','32');
 DeleteFile('C:\Program Files\My Web Shield\mweshield.exe','32');
 DeleteFile('C:\Program Files\My Web Shield\mweshieldup.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\ccnfd_1_10_0_2.sys','32');
 DeleteFile('C:\Program Files (x86)\WinArcher\Archer.dll','32');
 DeleteFile('C:\ProgramData\WinSAPSvc\WinSAP.dll','32');
 DeleteFile('C:\Users\HP\AppData\Roaming\WinSnare\WinSnare.dll','32');
 DeleteFile('http:\api.mhttxtv.com\hgstxhts541075a9e680_ja1100a1g7l0ekg7l0ekx.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Milimili','64');
 DeleteFile('C:\Users\HP\appdata\roaming\mydesktop\linkme.exe','32');
 DeleteService('1b01e1ffaf3d3800dc9041a5465f3fbc');
 DeleteService('ed2kidle');
 DeleteService('FirefoxU');
 DeleteService('mweshield');
 DeleteService('mweshieldup');
 DeleteService('mwescontroller');
 DeleteService('81be85ee67bc77fe17932f5a29d40089');
 DeleteService('ccnfd_1_10_0_2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!


Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
1
0 / 0 / 1
Регистрация: 30.09.2013
Сообщений: 27
14.02.2017, 20:19  [ТС] 5
Скрипты выполнил, архив с карантином отправил, вот новый лог
CollectionLog-2017.02.14-20.19.zip
0
Вирусоборец
13268 / 7392 / 1564
Регистрация: 06.09.2009
Сообщений: 26,955
16.02.2017, 21:34 6
Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
0
0 / 0 / 1
Регистрация: 30.09.2013
Сообщений: 27
20.02.2017, 21:59  [ТС] 7
архив.rar
0
Вирусоборец
13268 / 7392 / 1564
Регистрация: 06.09.2009
Сообщений: 26,955
21.02.2017, 00:02 8
ContentPush
DPower version 1.0
Extended Update
Remote Desktop Access (VuuPC)
RocketTab
ScreenShared
Ultimate Codecs Setup Wizard Packages
UpdateAdmin
Winner Download Manager
WinThruster
WinThruster (Version: 1.16.8 - Solvusoft Corporation)
удалите через Установку программ


1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код
CreateRestorePoint:
ShellExecuteHooks: No Name - {C73EC60A-DE4B-11E6-A854-64006A5CFC23} - C:\Users\HP\AppData\Roaming\Thertsparimoly\Prcichjoferly.dll -> No File
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3809906173-3286709108-1813449861-1002\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX&q={searchTerms}
HKU\S-1-5-21-3809906173-3286709108-1813449861-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX
HKU\S-1-5-21-3809906173-3286709108-1813449861-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvA3t6XRFeEXELRS1IHrPGtbWLqz5HOVWNM1hODToEDWOSX_EH_34T29gqwzK4mLQ6qcHkVcD1WHOWFoTxgUjkDsTNDT_fQbaDKObEEwpPO7mFH-oQK6FxhJ636zhRBUomdTzdGeLENtKDLMBNbavJ_BwUD9KI2g,&q={searchTerms}
HKU\S-1-5-21-3809906173-3286709108-1813449861-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX&q={searchTerms}
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvA3t6XRFeEXELRS1IHrPGtbWLqz5HOVWNM1hODToEDWOSX_EH_34T29gqwzK4mLQ6qcHkVcD1WHOWFoTxgUjkDsTNDT_fQbaDKObEEwpPO7mFH-oQK6FxhJ636zhRBUomdTzdGeLENtKDLMBNbavJ_BwUD9KI2g,&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX&q={searchTerms}
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.amisites.com/?type=sc&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX
CHR HomePage: ChromeDefaultData -> hxxp://www.youndoo.com/?z=76fa59c300abdad509f9385g6z9b1qfc2ebt6mccbe&from=3gs&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX&type=hp
CHR StartupUrls: ChromeDefaultData -> "hxxp://www.youndoo.com/?z=76fa59c300abdad509f9385g6z9b1qfc2ebt6mccbe&from=3gs&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX&type=hp"
CHR DefaultSearchURL: ChromeDefaultData -> hxxp://www.youndoo.com/search/?q={searchTerms}&z=76fa59c300abdad509f9385g6z9b1qfc2ebt6mccbe&from=3gs&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX&type=sp
CHR DefaultSearchKeyword: ChromeDefaultData -> youndoo
CHR Extension: (eShield) - C:\Users\HP\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp [2016-08-16]
CHR Extension: (Adblocker for Youtube™) - C:\Users\HP\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\gjmlmdpjbllmjgmlnbgfndakgmmfpgao [2017-02-05]
CHR Extension: (Fast search) - C:\Users\HP\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-26]
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
CHR HKU\S-1-5-21-3809906173-3286709108-1813449861-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3809906173-3286709108-1813449861-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - hxxp://vkplayerpro.ru/index.xml
CHR HKU\S-1-5-21-3809906173-3286709108-1813449861-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3809906173-3286709108-1813449861-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\HP\AppData\Roaming\Opera Software\Opera Stable\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2014-11-13]
OPR Extension: (__MSG_appName__) - C:\Users\HP\AppData\Roaming\Opera Software\Opera Stable\Extensions\nbomckfkgpfkhgcponiencnhemallhhh [2017-02-05]
OPR Extension: (__MSG_appName__) - C:\Users\HP\AppData\Roaming\Opera Software\Opera Stable\Extensions\objoaichchnolncdebkiiipkjlligamm [2015-04-21]
OPR Extension: (Fast search) - C:\Users\HP\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-26]
S4 GubZL; C:\WINDOWS\SysWOW64\svchost.exe [23040 2013-05-17] (Microsoft Corporation)
S4 bilibili; C:\WINDOWS\SysWOW64\svchost.exe [23040 2013-05-17] (Microsoft Corporation)
S4 WinSAPSvc; C:\windows\system32\svchost.exe [29696 2013-05-17] (Microsoft Corporation)
S4 WinSAPSvc; C:\windows\SysWOW64\svchost.exe [23040 2013-05-17] (Microsoft Corporation)
S2 WinSnare; C:\Users\HP\AppData\Roaming\WinSnare\WinSnare.dll [779776 2017-02-08] (InterSect Alliance Pty Ltd) [File not signed]
2017-02-15 16:21 - 2017-02-15 16:21 - 00000001 _RHOT C:\Users\Все пользователи\WinSAPSvc
2017-02-15 16:21 - 2017-02-15 16:21 - 00000001 _RHOT C:\Users\Все пользователи\NetworkPacketManitor
2017-02-15 16:21 - 2017-02-15 16:21 - 00000001 _RHOT C:\Users\Все пользователи\Logic Handler
2017-02-15 16:21 - 2017-02-15 16:21 - 00000001 _RHOT C:\Users\HP\AppData\Roaming\Uniblue
2017-02-15 16:21 - 2017-02-15 16:21 - 00000001 _RHOT C:\Users\HP\AppData\Roaming\MyDesktop
2017-02-15 16:21 - 2017-02-15 16:21 - 00000001 _RHOT C:\Users\HP\AppData\Roaming\DigitalSites
2017-02-15 16:21 - 2017-02-15 16:21 - 00000001 _RHOT C:\Users\HP\AppData\Local\StormFall
2017-02-15 16:21 - 2017-02-15 16:21 - 00000001 _RHOT C:\ProgramData\WinSAPSvc
2017-02-15 16:21 - 2017-02-15 16:21 - 00000001 _RHOT C:\ProgramData\NetworkPacketManitor
2017-02-15 16:21 - 2017-02-15 16:21 - 00000001 _RHOT C:\ProgramData\Logic Handler
2017-02-15 16:21 - 2017-02-15 16:21 - 00000001 _RHOT C:\Program Files (x86)\Youtube AdBlock
2017-02-15 16:20 - 2017-02-15 16:21 - 00000001 _RHOT C:\Users\HP\AppData\Roaming\advPlugin
2017-02-15 16:20 - 2017-02-15 16:21 - 00000001 _RHOT C:\Program Files (x86)\advPlugin
2017-02-14 17:48 - 2017-02-14 17:48 - 00000000 ____D C:\Users\HP\AppData\Roaming\WinSAPSvc
2017-02-14 17:48 - 2017-02-14 17:48 - 00000000 ____D C:\Program Files (x86)\bilibili
2017-02-13 19:39 - 2017-02-15 18:48 - 00000000 ____D C:\Program Files (x86)\WinSnare(4.1.0)
2017-02-13 19:39 - 2017-02-13 19:39 - 00003634 _____ C:\WINDOWS\System32\Tasks\WinTOOL
2017-02-13 19:39 - 2017-02-13 19:39 - 00000000 ____D C:\Users\Все пользователи\wintools
2017-02-13 19:39 - 2017-02-13 19:39 - 00000000 ____D C:\ProgramData\wintools
2017-02-06 18:44 - 2017-02-15 16:21 - 00000001 _RHOT C:\WINDOWS\system32\Drivers\mwescontroller.sys
2017-02-06 14:13 - 2017-02-15 16:27 - 00000000 ____D C:\Users\HP\AppData\Roaming\WinSnare
2017-02-06 14:13 - 2017-02-14 20:07 - 00000000 ____D C:\Program Files (x86)\WinArcher
2017-02-06 14:13 - 2017-02-08 14:58 - 00000000 ____D C:\Program Files (x86)\WinSnare(4.0.9)
2017-02-06 14:13 - 2017-02-06 23:40 - 00000000 ____D C:\Program Files\me1j2iqc
2017-02-05 18:50 - 2017-02-08 18:56 - 00000000 ____D C:\Program Files (x86)\Coerersp Client
2017-02-05 18:50 - 2017-02-05 21:55 - 00000000 ____D C:\Users\HP\AppData\Roaming\Thertsparimoly
2017-01-26 18:56 - 2017-01-26 18:57 - 00000000 ____D C:\Users\Все пользователи\ApppaznoRs
2017-01-26 18:56 - 2017-01-26 18:57 - 00000000 ____D C:\ProgramData\ApppaznoRs
2017-01-26 18:55 - 2017-02-08 18:56 - 00000000 ____D C:\Users\Все пользователи\ApppaznoR
2017-01-26 18:55 - 2017-02-08 18:56 - 00000000 ____D C:\ProgramData\ApppaznoR
Task: {0E8C2BA7-648C-40B8-ADA3-04F1C15F1139} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Task: {296E95A2-69DE-493C-8735-D7B7DF43BDE6} - System32\Tasks\WinTOOL => C:\ProgramData\wintools\WintoolUprI.exe [2017-02-13] ()
Task: {378401BA-A703-444A-A79C-3C47AD2DC5B6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> No File <==== ATTENTION
Task: {40525C58-79C2-47A1-9AA2-F1D7FC4F0691} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
Task: {44B3F1B8-5943-4072-8D8C-A9484676AC44} - \Microsoft\Windows\Live\Roaming\SynchronizeWithStorage -> No File <==== ATTENTION
Task: {5755E746-D7ED-4C20-A472-66C11834CDE4} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> No File <==== ATTENTION
Task: {7D9A9A1C-499C-40A6-8F8A-5BCC4CC9A87C} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> No File <==== ATTENTION
Task: {845CB020-68B5-4C6B-9876-7BEC7B3E27AC} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> No File <==== ATTENTION
Task: {A800277E-E202-4492-AD38-3312641CBC04} - \Microsoft\Windows\Live\Roaming\MaintenanceTask -> No File <==== ATTENTION
Task: {C84F8A44-9FD3-4273-930B-E488674D2812} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
0
0 / 0 / 1
Регистрация: 30.09.2013
Сообщений: 27
21.02.2017, 19:44  [ТС] 9
Цитата Сообщение от thyrex Посмотреть сообщение
ContentPush
DPower version 1.0
Extended Update
Remote Desktop Access (VuuPC)
RocketTab
ScreenShared
Ultimate Codecs Setup Wizard Packages
Winner Download Manager
)
эти удалились только из списка компонентов,
Цитата Сообщение от thyrex Посмотреть сообщение
UpdateAdmin
WinThruster
WinThruster (Version: 1.16.8 - Solvusoft Corporation)
удалились
Fixlog.rar-txt расширении превысил объем в 20кб( 26кб), кинул архивом
0
Вирусоборец
13268 / 7392 / 1564
Регистрация: 06.09.2009
Сообщений: 26,955
23.02.2017, 09:23 10
Сделайте новый лог FRST.txt
0
0 / 0 / 1
Регистрация: 30.09.2013
Сообщений: 27
24.02.2017, 13:38  [ТС] 11
FRST.zip
0
Вирусоборец
13268 / 7392 / 1564
Регистрация: 06.09.2009
Сообщений: 26,955
25.02.2017, 21:38 12
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvA3t6XRFeEXELRS1IHrPGtbWLqz5HOVWNM1hODToEDWOSX_EH_34T29gqwzK4mLQ6qtR36NDhbJpDSPZpyAh70-nf-vF87mr9ZYjWmpovyimM9c62-8fuqUmDm0XsMJm26u8XAGB6ejBERvyhkTJYQ7uwze4Zfo,
HKU\S-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvA3t6XRFeEXELRS1IHrPGtbWLqz5HOVWNM1hODToEDWOSX_EH_34T29gqwzK4mLQ6qcHkVcD1WHOWFoTxgUjkDsTNDT_fQbaDKObEEwpPO7mFH-oQK6FxhJ636zhRBUomdTzdGeLENtKDLMBNbavJ_BwUD9KI2g,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3809906173-3286709108-1813449861-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3809906173-3286709108-1813449861-1002 -> 4623dd00-e3f1-11e6-ba39-d4c9ef6f56b8 URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvA3t6XRFeEXELRS1IHrPGtbWLqz5HOVWNM1hODToEDWOSX_EH_34T29gqwzK4mLQ6qcHkVcD1WHOWFoTxgUjkDsTNDT_fQbaDKObEEwpPO7mFH-oQK6FxhJ636zhRBUomdTzdGeLENtKDLMBNbavJ_BwUD9KI2g,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3809906173-3286709108-1813449861-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d45aa2417591c6582b29994ead9237ea&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3809906173-3286709108-1813449861-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d45aa2417591c6582b29994ead9237ea&text=
SearchScopes: HKU\S-1-5-21-3809906173-3286709108-1813449861-1002 -> {0CA1B556-C0F0-4F61-AF49-BA4AD8DD5F7B} URL = hxxp://search.eshield.com/serp?guid={2EB2267E-BFE6-415C-9781-DDBDD0CB3C59}&k={searchTerms}
SearchScopes: HKU\S-1-5-21-3809906173-3286709108-1813449861-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1486554858&z=0967ac2374edda4f5236685gbz9b2q8w9w0z6bfc0o&from=archer1028&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3809906173-3286709108-1813449861-1002 -> {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvA3t6XRFeEXELRS1IHrPGtbWLqz5HOVWNM1hODToEDWOSX_EH_34T29gqwzK4mLQ6qcHkVcD1WHOWFoTxgUjkDsTNDT_fQbaDKObEEwpPO7mFH-oQK6FxhJ636zhRBUomdTzdGeLENtKDLMBNbavJ_BwUD9KI2g,&q={searchTerms}
SearchScopes: HKU\S-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvA3t6XRFeEXELRS1IHrPGtbWLqz5HOVWNM1hODToEDWOSX_EH_34T29gqwzK4mLQ6qcHkVcD1WHOWFoTxgUjkDsTNDT_fQbaDKObEEwpPO7mFH-oQK6FxhJ636zhRBUomdTzdGeLENtKDLMBNbavJ_BwUD9KI2g,&q={searchTerms}
SearchScopes: HKU\S-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133 -> {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvA3t6XRFeEXELRS1IHrPGtbWLqz5HOVWNM1hODToEDWOSX_EH_34T29gqwzK4mLQ6qcHkVcD1WHOWFoTxgUjkDsTNDT_fQbaDKObEEwpPO7mFH-oQK6FxhJ636zhRBUomdTzdGeLENtKDLMBNbavJ_BwUD9KI2g,&q={searchTerms}
BHO: No Name -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> No File
FF NewTab: Mozilla\Firefox\Profiles\vk942gev.default-1428991410506 -> hxxp://www.luckysearch123.com?type=hp&ts=1486551450&from=bd300206&uid=hgstxhts541075a9e680_ja1100a1g7l0ekg7l0ekx&z=02bc65c4ce4e57c144d5bd5gaz6b1q7w9w4gez4obc
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\vk942gev.default-1428991410506 -> youndoo
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\vk942gev.default-1428991410506 -> youndoo
FF ProfilePath: C:\Users\HP\AppData\Roaming\Mozilla\Firefox\naweriweentcofise\Profiles\vk942gev.default-1428991410506\Profiles\vk942gev.default-1428991410506 [not found]
FF ProfilePath: C:\Users\HP\AppData\Roaming\Firefox\Firefox\naweriweentcofise\Profiles\vk942gev.default-1428991410506\Profiles\vk942gev.default-1428991410506 [not found]
FF NewTab: Firefox\Firefox\Profiles\vk942gev.default-1428991410506 -> hxxp://www.luckysearch123.com?type=hp&ts=1486551450&from=bd300206&uid=hgstxhts541075a9e680_ja1100a1g7l0ekg7l0ekx&z=02bc65c4ce4e57c144d5bd5gaz6b1q7w9w4gez4obc
FF DefaultSearchEngine: Firefox\Firefox\Profiles\vk942gev.default-1428991410506 -> youndoo
FF SelectedSearchEngine: Firefox\Firefox\Profiles\vk942gev.default-1428991410506 -> youndoo
FF Homepage: Firefox\Firefox\Profiles\vk942gev.default-1428991410506 -> hxxp://www.searchinme.com/?type=hp&ts=1487088372156&z=&from=official&uid=HGSTXHTS541075A9E680_JA1100A1G7L0EKG7L0EKX
FF SearchPlugin: C:\Users\HP\AppData\Roaming\Firefox\Firefox\Profiles\vk942gev.default-1428991410506\searchplugins\amisites.xml [2017-02-08]
FF SearchPlugin: C:\Users\HP\AppData\Roaming\Firefox\Firefox\Profiles\vk942gev.default-1428991410506\searchplugins\luck.xml [2017-02-08]
FF SearchPlugin: C:\Users\HP\AppData\Roaming\Firefox\Firefox\Profiles\vk942gev.default-1428991410506\searchplugins\searchinme.xml [2017-02-08]
FF Extension: (Adblocker for Youtube™) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} [2017-02-05] [not signed]
FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\vk942gev.default-1428991410506\extensions\arthurj8283@gmail.com => not found
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\Ask.xml [2014-05-07]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\findit.xml [2017-02-06]
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
0
0 / 0 / 1
Регистрация: 30.09.2013
Сообщений: 27
26.02.2017, 20:05  [ТС] 13
Стоит в этом положении уже больше часа
В диспетчере подозрительные процессы

Но файл создал, перезагрузки не былоFixlog.txt
0
Вирусоборец
13268 / 7392 / 1564
Регистрация: 06.09.2009
Сообщений: 26,955
01.03.2017, 19:26 14
Попробуйте выполнить этот скрипт в безопасном режиме
0
0 / 0 / 1
Регистрация: 30.09.2013
Сообщений: 27
01.03.2017, 20:19  [ТС] 15
В безопасном режиме так же, полчаса прождал, ничего не изменилось
0
Вирусоборец
13268 / 7392 / 1564
Регистрация: 06.09.2009
Сообщений: 26,955
04.03.2017, 18:25 16
Сделайте лог AdwCleaner
0
0 / 0 / 1
Регистрация: 30.09.2013
Сообщений: 27
04.03.2017, 22:04  [ТС] 17
AdwCleaner[S0].rar
0
Вирусоборец
13268 / 7392 / 1564
Регистрация: 06.09.2009
Сообщений: 26,955
05.03.2017, 13:26 18
Отметьте и удалите в AdwCleaner все найденное
0
0 / 0 / 1
Регистрация: 30.09.2013
Сообщений: 27
05.03.2017, 18:27  [ТС] 19
AdwCleaner.rar
0
Вирусоборец
13268 / 7392 / 1564
Регистрация: 06.09.2009
Сообщений: 26,955
08.03.2017, 12:34 20
проблема решена?
1
08.03.2017, 12:34
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
08.03.2017, 12:34
Помогаю со студенческими работами здесь

Подозрительные процессы
Уважаемые вирусоборцы, много подозрительных процессов. explorer.exe съедает ресурсы порой.

Подозрительные процессы в автозагрузке
Здравствуйте, такая проблема. Хотел скачать программу Mindomo, по своей невнимательности скачал ее...

Подозрительные процессы загружают процессор
Здравствуйте. Недавно заметил, что при простое процессор загружен на 40-50 % процессом...

Другой компьютер. Моноблок DEXP. Подозрительные программы и процессы
Логи:


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2024, CyberForum.ru