-
Junior Member
- Вес репутации
- 38
Странный поисковик
Доброго времени суток. Сегодня установил гаджет для ГП. При загрузке отошел на 2-3 минуты. Когда вернулся, увидел, что кроме гаджета установились еще 3 неизвестных программы которые я успешно удалил. Далее Пошли проблемы:В Браузере Google chrome появилось не понятное расширение, которое я смог удалить только через AdwCleaner, но это полбеды во всех браузерах 1 страницей открывается поисковая система awesomehp которая ни в одном из браузеров не указана как домашняя страница и, тем более, как поисковик по умолчанию. Избавится от сей напасти не выходит Утилита Dr Web находит Вирус, но удалить его не может. он как будто "воскресает". Антивирус Аваст никак не реагирует на это. Все с вязанное с гаджетом, да и он сам удалено с компьютера. Система Win7. 32 bit.
Новые данные: При сканировании на архивном уровне нашел еще 4 вируса, все успешно удалились, вирусов на компьютере более нет. Проблема сохраняется.
Последний раз редактировалось Nerik; 11.02.2014 в 22:48.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Nerik, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
amicosinglun - в установленных программах ничего такого не видно?
Программы от майл.ру сами ставили или они тоже довеском?
- Сделайте лог полного сканирования МВАМ.
-
-
Junior Member
- Вес репутации
- 38
Программы от Майл ставил сам, активно пользуюсь Агентом и Игровым центром. В установленных такой программы нет, но на Диске С в папке Programs Files папка с таким именем есть. При чем очень странно то, что Файлы в ней за 2012г, хотя машина приобретена в середине 2013г. Так же в папке Perfeth есть файл с таким именем.
-
1) Создайте на всякий случай точку восстановления системы.
2) Удалите в MBAM всё найденное.
3) Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFileF('C:\ProgramData\IePluginService\','*', true,'',0 ,0);
QuarantineFile('C:\ProgramData\IePluginS','');
QuarantineFile('C:\ProgramData\WPM\','');
QuarantineFileF('c:\program files\amicosinglun','*', true,'',0 ,0);
DeleteFileMask('c:\program files\amicosinglun', '*', true);
DeleteDirectory('c:\program files\amicosinglun', '');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log) + mbam
отпишитесь, что с проблемой?
-
-
Junior Member
- Вес репутации
- 38
Карантин выслал. Проблема сохраняется, но я случайно удалил Google Chrome. Переустановил и, о чудо, ,эта триклятая страничка более в нем не открывается. В опере и IE всё по прежнему. Удалил все файлы с компьютера с именем amicosinglun а так же программу Donload Master - которая являлась источником этих файлов. Но результата это не дало. что же за зловред такой.....
Начинаю боятся того, что придется сносить систему.
Последний раз редактировалось Nerik; 12.02.2014 в 17:19.
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(false);
end.
после перезагрузки проверьте проблему в IE.
Сделайте полный образ автозапуска uVS только программу скачайте отсюда
-
-
Junior Member
- Вес репутации
- 38
Проблема в IE сохранилась. вот ссылка на Лог uVS (не хватает места во вложениях) -http://files.mail.ru/1E7452FFD7F54CC693FE7DB24E0BFE28
-
Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:
Scan All Users
Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
Lop Check;
Purity Check;
Остальные параметры оставьте по умолчанию и нажмите Run Scan. По окончании сканирования программа создаст в той же папке, где находится она сама, два файла: OTL.txt и Extras.txt. Упакуйте их в архив и прикрепите к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 38
вот
п.с: Сможет ли мне помочь откат системы?
- - - Добавлено - - -
Что это значит? (Выделеное красным?)И как от этого избавится
Последний раз редактировалось Nerik; 12.02.2014 в 19:30.
-
- Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
- В окно Custom Scans/Fixes скопируйте следующую информацию:
Код:
:processes
killallprocesses
:OTL
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files\Mobogenie\DaemonProcess.exe File not found
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - Reg Error: Value error. File not found
O8 - Extra context menu item: Закачать при помощи Download Master - Reg Error: Value error. File not found
:Services
:Files
autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c
ipconfig /release /c
ipconfig /renew /c
:Reg
:Commands
[EMPTYTEMP]
[purity]
[start explorer]
[Reboot]
- Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
- Компьютер перезагрузится.
- После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
-----------------
файл после запуска которого это началось у вас сохранился?
Заархивируйте его в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
- - - Добавлено - - -
Сообщение от
Nerik
Что это значит? (Выделеное красным?)
это же ваш лог uVS.
Сообщение от
Nerik
Сможет ли мне помочь откат системы?
давайте пока с этим подождём.
-
-
Junior Member
- Вес репутации
- 38
Запустил скрипт 1 раз - вышло сообщение об ошибке. 2 раз -синий экран.
Вот что пишет лог:
Files\Folders moved on Reboot...
File\Folder E:\AUTORUN.INF not found!
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Files\Folders moved on Reboot...
File move failed. E:\AUTORUN.INF scheduled to be moved on reboot.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Файл к сожалению не сохранился. удалил сразу после появления проблемы в надежде на чудесное избавление....
-
Сообщение от
Nerik
Файл к сожалению не сохранился. удалил сразу после появления проблемы в надежде на чудесное избавление....
откуда скачали тоже не помните?
Сделайте лог ComboFix
-
-
Junior Member
- Вес репутации
- 38
-
Ошибка 404 — страница не найдена
попробуйте заархивировать файл
+ Как удалить вложения?
-
-
Junior Member
- Вес репутации
- 38
-
Посмотрите эта папка (содержимое) вам знакомо?
И на всякий случай ещё вручную проверьте, в свойствах ярлыков для запуска браузеров ничего лишнего не дописано?
-
-
Junior Member
- Вес репутации
- 38
По моему нет. Хмм.. странно запуск с корневого(в папке самого браузера) ярлыка не открывает эту страницу. неужели ярлыки?
-
Сообщение от
Nerik
странно запуск с корневого(в папке самого браузера) ярлыка не открывает эту страницу. неужели ярлыки?
значит да. В предыдущем сообщение написал
Сообщение от
regist
проверьте, в свойствах ярлыков для запуска браузеров ничего лишнего не дописано?
и папку
тоже проверьте, похоже от ad-aware
- - - Добавлено - - -
Удалите ComboFix
-
-
Junior Member
- Вес репутации
- 38
Вообще впервые вижу эту папку)))
Да и вообще появилось много папок (ну за исключением тех которые создали програмы) которые я раньше не видел на диске.