Добрый день!
Прошу помощи.
Подцепил гадость. Лечение ESETом, Касперским и чисткой реестра результата не дало.
Логи во вложении.
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
Спасибо!
Добрый день!
Прошу помощи.
Подцепил гадость. Лечение ESETом, Касперским и чисткой реестра результата не дало.
Логи во вложении.
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
Спасибо!
Уважаемый(ая) Vaskyn, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); StopService('qndfawbe'); QuarantineFile('C:\Users\?\AppData\Roaming\tkqB22WFRP1rmQb.exe', ''); QuarantineFile('C:\iexplore.bat', ''); QuarantineFile('C:\Program Files\Google\chrome.bat', ''); QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', ''); QuarantineFile('C:\Windows\system32\drivers\qndfawbe.sys', ''); DeleteFile('C:\Program Files\Google\chrome.bat', '32'); DeleteFile('C:\iexplore.bat', '32'); DeleteFile('C:\Windows\Tasks\tkqB22WFRP1rmQb.job', '32'); DeleteFile('C:\Users\?\AppData\Roaming\tkqB22WFRP1rmQb.exe', '32'); DeleteFile('C:\Windows\system32\Tasks\Uninstaller_SkipUac_Я', '32'); DeleteFile('C:\Windows\system32\Tasks\Soft installer', '32'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(1); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- сделайте лог Check Browsers' LNK by Dragokas & regist
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Добрый день еще раз!
Процедуры провели.
Логи прикрепляем
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
- Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Сделал.
Лог
Проблема осталась - по умолчанию в Chrome поисковик GetSearch.
а через настройки сменить не получается?.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
[QUOTE=regist;1286110]а через настройки сменить не получается?.
Нет, в настройках "установлено администратором"
Скачал Farbar, логи прилагаю.
Спасибо.
1) Заархивируйте и прикрепите к сообщению файлы
Код:C:\Users\Все пользователи\ntuser.pol C:\ProgramData\ntuser.pol C:\Users\Я\ntuser.pol
2) после этого
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:start CreateRestorePoint: ShortcutTarget: Image Retriever.lnk -> D:\Документы\СКАНЫ ДОКУМЕНТОВ\PaperPort\xdcla.exe (No File) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKU\S-1-5-21-361722631-734312235-4017944953-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://spacesearch.ru/?ri=1&rsid=d4810e1982f8a68cb858c1de3e1d87df&q={searchTerms} HKU\S-1-5-21-361722631-734312235-4017944953-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://spacesearch.ru/?ri=1&rsid=d4810e1982f8a68cb858c1de3e1d87df&q={searchTerms} URLSearchHook: HKU\S-1-5-21-361722631-734312235-4017944953-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll No File Toolbar: HKU\S-1-5-21-361722631-734312235-4017944953-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} - No File CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Я\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-04-14] CHR Extension: (PromCodes) - C:\Users\Я\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcedcainfpmibhlcppehljkpejdcpjjn [2015-06-19] OPR Extension: (Shop and Save Up) - C:\Users\Я\AppData\Roaming\Opera Software\Opera Stable\Extensions\ablgnpngfaaficpckehadaljnjgjkhbi [2015-06-19] OPR Extension: (PromCodes) - C:\Users\Я\AppData\Roaming\Opera Software\Opera Stable\Extensions\pcedcainfpmibhlcppehljkpejdcpjjn [2015-06-19] EmptyTemp: Reboot: end
Компьютер будет перезагружен автоматически.
Прилагаю файлы и логи.
В настройках Chrome выбрал поисковиком по умолчанию Google.
Да, спасибо!
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Vaskyn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.