периодически вылезает поисковая система, пытался сам исправить, в папке temp появляются зашифрованные файлы ..
http://rghost.ru/60492108 (карантин)
периодически вылезает поисковая система, пытался сам исправить, в папке temp появляются зашифрованные файлы ..
http://rghost.ru/60492108 (карантин)
Последний раз редактировалось Bupkka; 22.01.2015 в 15:31.
Пофиксите в HijackThis (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://2inf.net/?utm_source=startpage12
WBR,
Vadim
сделал
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\users\bupkka\appdata\roaming\installw\iwsrv.exe'); TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe'); QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll', ''); QuarantineFile('C:\Users\Bupkka\AppData\Roaming\eTranslator\eTranslator.exe', ''); QuarantineFile('c:\users\bupkka\appdata\roaming\installw\iwsrv.exe', ''); QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe', ''); DeleteFile('c:\users\bupkka\appdata\roaming\installw\iwsrv.exe', '32'); DeleteFile('C:\Program Files (x86)\advPlugin\Basement\ExtensionUpdaterService.exe', '32'); DeleteFile('C:\Users\Bupkka\AppData\Roaming\eTranslator\eTranslator.exe', '32'); DeleteFile('C:\Users\Bupkka\AppData\Local\Kometa\Application\kometa.exe', '32'); DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll', '32'); DeleteFileMask('C:\Program Files (x86)\advPlugin', '*', true); DeleteFileMask('C:\Users\Bupkka\AppData\Roaming\eTranslator', '*', true); DeleteFileMask('c:\users\bupkka\appdata\roaming\installw', '*', true); DeleteDirectory('C:\Program Files (x86)\advPlugin'); DeleteDirectory('C:\Users\Bupkka\AppData\Roaming\eTranslator'); DeleteDirectory('c:\users\bupkka\appdata\roaming\installw'); DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}'); DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}'); ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
WBR,
Vadim
вроде не перепутал
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать, по окончании сканирования уберите галочки на вкладках Папки и Реестр со всех пунктов, где упоминаются MediaGet если используете эту программу.
Затем нажмите Очистить и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.
WBR,
Vadim
сделал, поисковик все еще вылазит иногда..
Последний раз редактировалось Bupkka; 23.01.2015 в 15:11.
Удалите программы:
etranslator
Image Resizer Packages
WebSecurity Extension version 16.40
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае).Код:ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files (x86)\McAfee Security Scan\3.0.285\SSScheduler.exe (No File) CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-850708706-3272390162-4021465048-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION SearchScopes: HKU\S-1-5-21-850708706-3272390162-4021465048-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms} BHO-x32: No Name -> {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} -> No File FF Extension: ExSmile v13.6.18 - C:\Users\Bupkka\AppData\Roaming\Mozilla\Firefox\Profiles\focccsi6.default\Extensions\[email protected] [2013-06-18] FF Extension: Box Rock 1.0.1 - C:\Users\Bupkka\AppData\Roaming\Mozilla\Firefox\Profiles\focccsi6.default\Extensions\{adb1551e-d59a-4933-a8c9-a0c0e8837b88}.xpi [2015-01-04] CHR Extension: (Google Переводчик) - C:\Users\Bupkka\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2015-01-20] CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - No Path 2015-01-16 22:27 - 2015-01-17 23:29 - 00000000 ____D () C:\Program Files (x86)\Microsoft Data 2015-01-16 22:27 - 2015-01-16 22:27 - 00000001 _____ () C:\Users\Bupkka\AppData\Roaming\smw_inst 2015-01-04 22:07 - 2015-01-04 22:36 - 00000000 ____D () C:\Program Files (x86)\GoForFilesUpdater Task: {14252C3E-22FC-48D1-AD15-56693AA6EA97} - \Update Service GoForFiles No Task File <==== ATTENTION Task: {6C9B5C90-5CA6-4CB2-ACB2-32C9A858B5D3} - \nethost task No Task File <==== ATTENTION ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc ShortcutWithArgument: C:\Users\Juliya\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc ShortcutWithArgument: C:\Users\Juliya\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc ShortcutWithArgument: C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc ShortcutWithArgument: C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc ShortcutWithArgument: C:\Users\Галина\Desktop\Yandex.lnk -> C:\Users\Bupkka\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk -> C:\Users\Bupkka\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk -> C:\Users\Bupkka\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Проверьте и отключите сомнительные расширения в браузерах.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
WBR,
Vadim
все сделал, расширения часто контролирую, поисковик вроде перестал вылезать, спасибо большое!
Интересуют файлы зашифрованные в папки Temp "etilqs_AoPL1uHShClLVcB" 3 таких файла с разными именами
Насчёт этих файлов - их создаёт Хром и браузеры на его движке, не обращайте внимание.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Bupkka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.