Показано с 1 по 11 из 11.

goinf (заявка № 175380)

  1. #1
    Junior Member Репутация
    Регистрация
    21.01.2015
    Адрес
    Казань
    Сообщений
    12
    Вес репутации
    34

    goinf

    периодически вылезает поисковая система, пытался сам исправить, в папке temp появляются зашифрованные файлы ..
    http://rghost.ru/60492108 (карантин)
    Вложения Вложения
    Последний раз редактировалось Bupkka; 22.01.2015 в 15:31.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Пофиксите в HijackThis (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://2inf.net/?utm_source=startpage12
    Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
    WBR,
    Vadim

  4. #3
    Junior Member Репутация
    Регистрация
    21.01.2015
    Адрес
    Казань
    Сообщений
    12
    Вес репутации
    34
    сделал
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\users\bupkka\appdata\roaming\installw\iwsrv.exe');
     TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe');
     QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll', '');
     QuarantineFile('C:\Users\Bupkka\AppData\Roaming\eTranslator\eTranslator.exe', '');
     QuarantineFile('c:\users\bupkka\appdata\roaming\installw\iwsrv.exe', '');
     QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe', '');
     DeleteFile('c:\users\bupkka\appdata\roaming\installw\iwsrv.exe', '32');
     DeleteFile('C:\Program Files (x86)\advPlugin\Basement\ExtensionUpdaterService.exe', '32');
     DeleteFile('C:\Users\Bupkka\AppData\Roaming\eTranslator\eTranslator.exe', '32');
     DeleteFile('C:\Users\Bupkka\AppData\Local\Kometa\Application\kometa.exe', '32');
     DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll', '32');
     DeleteFileMask('C:\Program Files (x86)\advPlugin', '*', true);
     DeleteFileMask('C:\Users\Bupkka\AppData\Roaming\eTranslator', '*', true);
     DeleteFileMask('c:\users\bupkka\appdata\roaming\installw', '*', true);
     DeleteDirectory('C:\Program Files (x86)\advPlugin');
     DeleteDirectory('C:\Users\Bupkka\AppData\Roaming\eTranslator');
     DeleteDirectory('c:\users\bupkka\appdata\roaming\installw');
     DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
     DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
    ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).
    WBR,
    Vadim

  6. #5
    Junior Member Репутация
    Регистрация
    21.01.2015
    Адрес
    Казань
    Сообщений
    12
    Вес репутации
    34
    вроде не перепутал
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Запустите повторно AdwCleaner (by Xplode) Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать, по окончании сканирования уберите галочки на вкладках Папки и Реестр со всех пунктов, где упоминаются MediaGet если используете эту программу.

    Затем нажмите Очистить и по окончании удаления перезагрузите систему по требованию программы.

    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти три файла к своему следующему сообщению.
    WBR,
    Vadim

  8. #7
    Junior Member Репутация
    Регистрация
    21.01.2015
    Адрес
    Казань
    Сообщений
    12
    Вес репутации
    34
    сделал, поисковик все еще вылазит иногда..
    Вложения Вложения
    Последний раз редактировалось Bupkka; 23.01.2015 в 15:11.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Удалите программы:

    etranslator
    Image Resizer Packages
    WebSecurity Extension version 16.40

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files (x86)\McAfee Security Scan\3.0.285\SSScheduler.exe (No File)
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    CHR HKU\S-1-5-21-850708706-3272390162-4021465048-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    SearchScopes: HKU\S-1-5-21-850708706-3272390162-4021465048-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
    BHO-x32: No Name -> {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} ->  No File
    FF Extension: ExSmile v13.6.18 - C:\Users\Bupkka\AppData\Roaming\Mozilla\Firefox\Profiles\focccsi6.default\Extensions\[email protected] [2013-06-18]
    FF Extension: Box Rock 1.0.1 - C:\Users\Bupkka\AppData\Roaming\Mozilla\Firefox\Profiles\focccsi6.default\Extensions\{adb1551e-d59a-4933-a8c9-a0c0e8837b88}.xpi [2015-01-04]
    CHR Extension: (Google Переводчик) - C:\Users\Bupkka\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2015-01-20]
    CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path
    CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path
    CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - No Path
    2015-01-16 22:27 - 2015-01-17 23:29 - 00000000 ____D () C:\Program Files (x86)\Microsoft Data
    2015-01-16 22:27 - 2015-01-16 22:27 - 00000001 _____ () C:\Users\Bupkka\AppData\Roaming\smw_inst
    2015-01-04 22:07 - 2015-01-04 22:36 - 00000000 ____D () C:\Program Files (x86)\GoForFilesUpdater
    Task: {14252C3E-22FC-48D1-AD15-56693AA6EA97} - \Update Service GoForFiles No Task File <==== ATTENTION
    Task: {6C9B5C90-5CA6-4CB2-ACB2-32C9A858B5D3} - \nethost task No Task File <==== ATTENTION
    ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    ShortcutWithArgument: C:\Users\Juliya\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    ShortcutWithArgument: C:\Users\Juliya\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    ShortcutWithArgument: C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    ShortcutWithArgument: C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    ShortcutWithArgument: C:\Users\Галина\Desktop\Yandex.lnk -> C:\Users\Bupkka\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk -> C:\Users\Bupkka\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    ShortcutWithArgument: C:\Users\Галина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk -> C:\Users\Bupkka\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) -> hxxp://start.webalta.ru/?zip&s=6e7e24dc
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае).
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Проверьте и отключите сомнительные расширения в браузерах.

    Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
    WBR,
    Vadim

  10. #9
    Junior Member Репутация
    Регистрация
    21.01.2015
    Адрес
    Казань
    Сообщений
    12
    Вес репутации
    34
    все сделал, расширения часто контролирую, поисковик вроде перестал вылезать, спасибо большое!
    Интересуют файлы зашифрованные в папки Temp "etilqs_AoPL1uHShClLVcB" 3 таких файла с разными именами
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Насчёт этих файлов - их создаёт Хром и браузеры на его движке, не обращайте внимание.
    WBR,
    Vadim

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Bupkka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. goinf.ру
      От Карэн в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.12.2014, 00:37
    2. goinf.ru/
      От Sofi36 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 29.11.2014, 18:54
    3. GOINF.RU
      От lazo122 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.09.2014, 20:28
    4. http://goinf.ru/
      От Артур Ковалёв в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.09.2014, 00:00
    5. вирус goinf.ru!!
      От nastya621 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.09.2014, 23:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00701 seconds with 20 queries