-
Junior Member
- Вес репутации
- 42
Вирус. Порно-баннеры в браузерах, реклама в новых окнах. [Trojan.MSIL.Agent.aanmn
]
Здравствуйте!
Сегодня скачивала электронную книгу, но скачалась не книга, а файл с вирусом. Теперь во всех браузерах выскакивают баннеры с порнографическим содержанием (предложениями заказать секс. услуги). Также автоматически открывается окно с рекламой купить телевизор и т.п. Также автоматически установились программы Амиго, Вконтакте и Одноклассники. Я их не открывала, решила сразу удалить. Из списка "Установка и удаление программ" удалила Амиго, двух других там нет. Боюсь, что они могли удалится не полностью, ярлыки остались на рабочем столе. Помогите, пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Попевка, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Внимание !!! База поcледний раз обновлялась 23/02/2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Базы обновите. Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 42
-
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
QuarantineFile('c:\documents and settings\Ольга\local settings\application data\microsoft\windows\toolbar.exe','');
TerminateProcessByName('c:\documents and settings\Ольга\local settings\application data\microsoft\windows\toolbar.exe');
DeleteFile('c:\documents and settings\Ольга\local settings\application data\microsoft\windows\toolbar.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
DeleteFile('C:\WINDOWS\Tasks\25ed447e-07eb-440b-ac14-b3946b80abb1-1.job','32');
DeleteFile('C:\WINDOWS\Tasks\25ed447e-07eb-440b-ac14-b3946b80abb1-10_user.job','32');
DeleteFile('C:\WINDOWS\Tasks\25ed447e-07eb-440b-ac14-b3946b80abb1-11.job','32');
DeleteFile('C:\WINDOWS\Tasks\25ed447e-07eb-440b-ac14-b3946b80abb1-2.job','32');
DeleteFile('C:\WINDOWS\Tasks\25ed447e-07eb-440b-ac14-b3946b80abb1-4.job','32');
DeleteFile('C:\WINDOWS\Tasks\25ed447e-07eb-440b-ac14-b3946b80abb1-5.job','32');
DeleteFile('C:\WINDOWS\Tasks\25ed447e-07eb-440b-ac14-b3946b80abb1-6.job','32');
DeleteFile('C:\WINDOWS\Tasks\25ed447e-07eb-440b-ac14-b3946b80abb1-7.job','32');
DeleteFile('C:\WINDOWS\Tasks\BMHUBHR.job','32');
DeleteFile('C:\WINDOWS\Tasks\Express Files Updater.job','32');
DeleteFile('C:\WINDOWS\Tasks\ILTDA.job','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите checkbrowserslnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
- Прикрепите этот отчет в вашей теме.
-
-
Junior Member
- Вес репутации
- 42
Прошу прощения. Я переделала логи, пока не применяя ваших рекомендаций. Я сегодня ночью купила программу Hitman Pro, она удалила несколько троянов, но баннеры на месте. Еще заметила вот что. В Яндекс браузере автоматически загружается дополнение AdBlock (видимо, вирус), когда его удаляю, баннеры исчезают. но оно заружается каждый раз при перезапуске браузера. В Мозилле хочет добавится это же дополнение, но спрашивает разрешения. Я его не добавляла. В Мозилле баннеры исчезают, когда выключаю и потом включаю дополнение Adblock Plus.
Посмотрите, пожалуйста, подходит ли ваша инструкция для новых логов.
- - - - -Добавлено - - - - -
Сделано. Вот логи.
Отчет CheckBrowserLnk.log весит 4.50 МБ, он не помещается во вложения. Куда его загрузить?
Еще осталось вот это. В Яндекс браузере автоматически загружается дополнение AdBlock (видимо, вирус), когда его удаляю, баннеры исчезают. но оно заружается каждый раз при перезапуске браузера.
Последний раз редактировалось Попевка; 05.03.2015 в 23:17.
-
Пожалуйста пока не занимайтесь самолечением, вы искажаете логи и мне сложней понять в чем проблема.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 42
-
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
-
-
Junior Member
- Вес репутации
- 42
-
Деинсталлируйте 百度云管家, ClickMovie1-Downloaderv10
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
BHO: No Name -> {00000ADA-7E0D-47C1-986C-F017D09C4304} -> No File
() J:\Program Files\BaiduYunGuanjia\BaiduYunGuanjia.exe
HKU\S-1-5-21-1229272821-1563985344-682003330-1004\...\Run: [BaiduYunGuanjia] => J:\Program Files\BaiduYunGuanjia\BaiduYunGuanjia.exe [4646344 2014-09-17] ()
J:\Program Files\BaiduYunGuanjia
BHO: ѸÀ×FLVÊÓƵÐá̽¼°ÏÂÔØÖ§³Ö -> {0EA37B17-6B8B-4085-8257-F3A4AA69C27A} -> C:\Program Files\Thunder Network\Thunder\BHO\XlBrowserAddin1.0.6.69.dll (ShenZhen Xunlei Networking Technologies,LTD)
BHO: ѸÀ×ÏÂÔØÖ§³Ö -> {889D2FEB-5411-4565-8998-1DD2C5261283} -> C:\Program Files\Thunder Network\Thunder\BHO\XunleiBHO7.2.5.3364.dll (深圳市迅雷网络技术有限公司)
FF Plugin: @baidu.com/YunWebDetectPlugin -> J:\Program Files\BaiduYunGuanjia\npYunWebDetect.dll (Baidu.com, Inc.)
FF Extension: AS Magic Player - C:\Documents and Settings\Ольга\Application Data\Mozilla\Firefox\Profiles\f526vu9h.default\Extensions\[email protected] [2015-03-01]
FF Extension: SuperMegaBest.com - C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Lab\SafeBrowser\S-1-5-21-1229272821-1563985344-682003330-1004\FireFox\Extensions\[email protected] [2014-10-30]
FF Extension: ClickMovie1-Downloaderv10 - C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Lab\SafeBrowser\S-1-5-21-1229272821-1563985344-682003330-1004\FireFox\Extensions\[email protected] [2015-01-28]
CHR Extension: (Стартовая — Яндекс) - C:\Documents and Settings\Ольга\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jdkihdhlegcdggknokfekoemkjjnjhgi [2014-12-19]
OPR Extension: (ClickMovie1-Downloaderv10) - C:\Documents and Settings\Ольга\Application Data\Opera Software\Opera Stable\Extensions\gkookgoofbomddkomagahpnpdcnebnad [2015-01-28]
2015-03-05 02:48 - 2015-01-28 19:12 - 00000000 ____D () C:\Program Files\ClickMovie1-Downloaderv10
2015-01-25 20:12 - 2015-01-25 20:12 - 0001248 _____ () C:\Documents and Settings\Ольга\Application Data\BMHUBHR
2015-01-28 19:12 - 2015-01-28 19:12 - 2010584 _____ (end) C:\Documents and Settings\Ольга\Application Data\BMHUBHR.exe
2015-01-25 20:12 - 2015-01-25 20:12 - 0002086 _____ () C:\Documents and Settings\Ольга\Application Data\ILTDA
2015-01-28 19:13 - 2015-01-28 19:13 - 1522136 _____ (end) C:\Documents and Settings\Ольга\Application Data\ILTDA.exe
AlternateDataStreams: C:\Documents and Settings\All Users.WINDOWS\Application Data\Temp:0888F409
AlternateDataStreams: C:\Documents and Settings\All Users.WINDOWS\Application Data\Temp:0CE7F3C9
AlternateDataStreams: C:\Documents and Settings\All Users.WINDOWS\Application Data\Temp:3440EB47
AlternateDataStreams: C:\Documents and Settings\All Users.WINDOWS\Application Data\Temp:56E2E879
AlternateDataStreams: C:\Documents and Settings\All Users.WINDOWS\Application Data\Temp:66633281
AlternateDataStreams: C:\Documents and Settings\All Users.WINDOWS\Application Data\Temp:0888F409
AlternateDataStreams: C:\Documents and Settings\All Users.WINDOWS\Application Data\Temp:0CE7F3C9
AlternateDataStreams: C:\Documents and Settings\All Users.WINDOWS\Application Data\Temp:3440EB47
AlternateDataStreams: C:\Documents and Settings\All Users.WINDOWS\Application Data\Temp:56E2E879
AlternateDataStreams: C:\Documents and Settings\All Users.WINDOWS\Application Data\Temp:66633281
EmptyTemp:
Reboot:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
-
-
Junior Member
- Вес репутации
- 42
Сделано.
Вопрос про эту программу 百度云管家. Она с вирусом? Можно её опять установить? Дело в том, что она мне нужна, чтобы скачивать большие файлы (больше 1 Гб) с фигурным катанием с китайского файлообменника pan.baidu.com. Это сайт не дает их скачивать другим менеджерам загрузок.
Последний раз редактировалось Попевка; 07.03.2015 в 16:55.
-
Вопрос про эту программу 百度云管家. Она с вирусом? Можно её опять установить?
Я подумал просто, что это китайский антивирус Baidu, который иногда без спроса ставится, но раз пользуйтесь этой программой, то тогда оставьте.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 42
Сейчас всё в норме. Большое Вам спасибо!
-
- Скачайте DelFix и сохраните утилиту на Рабочем столе
- Запустите DelFix
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
- Нажмите на кнопку Run
- После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
- Прикрепите этот отчет в вашей теме.
- Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
-
-
Junior Member
- Вес репутации
- 42
-
Обновите:
Java 7 Update 17 v.7.0.170 Внимание! Скачать обновления
^Скачайте jre-7u76-windows-i586.exe^
Java Auto Updater v.2.1.9.0
-------------AppleProduction----------------------
QuickTime v.7.72.80.56 Внимание! Скачать обновления
Bonjour Service (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.9.900.117 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.9.900.117 Внимание! Скачать обновления
Adobe Reader XI (11.0.0 v.11.0.08 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.40.0.2214.115
Mozilla Firefox 20.0 (x86 ru) v.20.0 Внимание! Скачать обновления
Opera 12.02 v.12.02.1578 Внимание! Скачать обновления
Safari v.5.34.57.2
Yandex v.35.0.1916.15705 Внимание! Скачать обновления
Советы и рекомендации после лечения компьютера
-
-
Junior Member
- Вес репутации
- 42
Сделано. Еще раз спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\ольга\local settings\application data\microsoft\windows\toolbar.exe - Trojan.MSIL.Agent.aanmn ( AVAST4: Win32:Malware-gen )
-