Junior Member (OID)
Вес репутации
33
Помогите, нестабильное соединение Интернет, тормозит компьютер [not-a-virus:RiskTool.Win32.Agent.jzs]
Проблема в частых обрывах в соединении с интернетом, появляется ошибка в браузере 500 Internal Privoxy Error. Причина в вирусе под названием Jelbrus Secure Web, есть папка с таким названием, когда интернет пропадает и появляется данная ошибка я запускаю из этой папки файлы, только тогда появляется соединение, часто не воспроизводится видео с youtube, также тормозит компьютер в различных процессах. Все сделал по инструкции.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Кирилл Сергеев , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Junior Member (OID)
Вес репутации
33
Не открывается окно с вложениями, просто белое окно, как прикладывать тогда?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
33
acestream удалите через Установку программ
Оставьте только один антивирус.
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\GoForFilesUpdater\GoForFilesUpdater.exe','');
QuarantineFile('C:\Users\1\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','');
QuarantineFile('C:\Users\1\AppData\Roaming\32CFCA\32CFCA.exe','');
QuarantineFile('C:\Windows\system32\drivers\ssnfd.sys','');
DeleteService('ssnfd');
TerminateProcessByName('c:\users\1\appdata\roaming\acestream\updater\ace_update.exe');
DeleteFile('c:\users\1\appdata\roaming\acestream\updater\ace_update.exe','32');
DeleteFile('C:\Windows\system32\drivers\ssnfd.sys','32');
DeleteFile('C:\Users\1\AppData\Roaming\32CFCA\32CFCA.exe','32');
DeleteFile('C:\Users\1\appdata\roaming\acestream\engine\lib\ctools.dll','32');
DeleteFile('C:\Users\1\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','32');
DeleteFile('C:\Program Files (x86)\GoForFilesUpdater\GoForFilesUpdater.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Update Service GoForFiles','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
Сделайте новые логи по правилам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
33
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" .
Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
33
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
ProxyEnable: [S-1-5-21-2934711152-3788345237-271431272-1000] => Internet Explorer proxy is enabled.
ProxyServer: [S-1-5-21-2934711152-3788345237-271431272-1000] => 127.0.0.1:8118
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hppp&ts=1417768342&from=irs&uid=TOSHIBAXMK5059GSXP_32U2C5XMTXX32U2C5XMT /verysilent /hideuninstall
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 0x00
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1417768258&from=irs&uid=TOSHIBAXMK5059GSXP_32U2C5XMTXX32U2C5XMT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 0x00
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hppp&ts=1417768342&from=irs&uid=TOSHIBAXMK5059GSXP_32U2C5XMTXX32U2C5XMT /verysilent /hideuninstall
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 0x00
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1417768258&from=irs&uid=TOSHIBAXMK5059GSXP_32U2C5XMTXX32U2C5XMT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 0x00
HKU\S-1-5-21-2934711152-3788345237-271431272-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 0x00
HKU\S-1-5-21-2934711152-3788345237-271431272-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=dspp&ts=1417768342&from=irs&uid=TOSHIBAXMK5059GSXP_32U2C5XMTXX32U2C5XMT /verysilent /hideuninstall&q={searchTerms}
HKU\S-1-5-21-2934711152-3788345237-271431272-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=dspp&ts=1417768342&from=irs&uid=TOSHIBAXMK5059GSXP_32U2C5XMTXX32U2C5XMT /verysilent /hideuninstall&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417768258&from=irs&uid=TOSHIBAXMK5059GSXP_32U2C5XMTXX32U2C5XMT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417768258&from=irs&uid=TOSHIBAXMK5059GSXP_32U2C5XMTXX32U2C5XMT&q={searchTerms}
CHR Extension: (Magic Player) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpckgflgdapkpabemgkielbefdildaio [2014-06-08]
CHR Extension: (APIHelper) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke [2015-01-13]
OPR Extension: (APIHelper) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-02-14]
OPR Extension: (Ultimate Discounter) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnbekdjpdldejohkmdonijjglpohocgo [2015-01-02]
OPR Extension: (AS Magic Player) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2015-01-03]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
2015-04-18 17:56 - 2013-10-10 11:30 - 00000000 __SHD () C:\Users\1\AppData\Roaming\32CFCA
2015-04-18 17:53 - 2014-06-07 23:34 - 00000000 ____D () C:\Users\1\AppData\Roaming\.ACEStream
2015-04-18 17:53 - 2014-06-07 23:32 - 00000000 ____D () C:\Users\1\AppData\Roaming\ACEStream
2015-02-13 19:56 - 2015-02-13 19:56 - 0000000 _____ () C:\Users\1\AppData\Roaming\155.tmp
2015-02-13 19:56 - 2015-02-13 19:56 - 0851968 _____ () C:\Users\1\AppData\Roaming\155.tmp.exe
2015-02-15 15:15 - 2015-02-15 15:15 - 0000000 _____ () C:\Users\1\AppData\Roaming\212E.tmp
2015-02-08 12:20 - 2015-02-08 12:20 - 0000000 _____ () C:\Users\1\AppData\Roaming\69E9.tmp
2015-02-08 12:20 - 2015-02-08 12:20 - 0851968 _____ () C:\Users\1\AppData\Roaming\69E9.tmp.exe
2015-02-07 12:20 - 2015-02-07 12:20 - 0000000 _____ () C:\Users\1\AppData\Roaming\A860.tmp
2015-02-07 12:20 - 2015-02-07 12:20 - 0851968 _____ () C:\Users\1\AppData\Roaming\A860.tmp.exe
2014-12-20 18:52 - 2014-12-20 18:52 - 0628496 _____ (CMI Limited) C:\Users\1\AppData\Local\nsb7882.tmp
Task: {77C5C050-1A02-4487-8ED6-26E158D6A972} - \GPUP No Task File <==== ATTENTION
Task: {D696F697-610B-47DF-BAC1-D0245B919AB5} - \Update Service GoForFiles No Task File <==== ATTENTION
Task: {E0F2ED33-37D3-4774-9D4D-29508F395EB1} - \Программа онлайн-обновления Adobe. No Task File <==== ATTENTION
Task: {A5E0B116-DA2F-4B17-AEE2-C9572580C6F5} - \DTReg No Task File <==== ATTENTION
Reboot:
Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
33
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
33
Вроде не вылезает эта ошибка, но она всплывает внезапно, папка с этим эльбрусом осталась все равно
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
(The Privoxy team - www.privoxy.org) C:\Program Files (x86)\Jelbrus Secure Web\privoxy.exe
R2 PrivoxyService; C:\Program Files (x86)\Jelbrus Secure Web\privoxy.exe [443202 2015-02-07] (The Privoxy team - www.privoxy.org) [File not signed] <==== ATTENTION
S2 d3dadapter; %SystemRoot%\System32\d3dadapter.dll [X]
S4 ir16_32; %SystemRoot%\System32\ir16_32.dll [X]
S2 wlanmgr; %SystemRoot%\System32\wlanmgr.dll [X]
C:\Program Files (x86)\Jelbrus Secure Web
Reboot:
Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
33
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member (OID)
Вес репутации
33
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\program files (x86)\goforfilesupdater\goforfilesupdater.exe - not-a-virus:RiskTool.Win32.Agent.jzs ( DrWEB: Adware.Downware.4798, BitDefender: Gen:Variant.Kazy.501214, AVAST4: Win32:Dropper-gen [Drp] )