Здравствуйте.
Поймала вирус, теперь после каждой перезагрузки компьютера слетает uBlock ("Веб-страница не найдена") и восстанавливается ранее удалённое приложение "SmartAdv for Google Chrome".
Прошу о помощи.
Здравствуйте.
Поймала вирус, теперь после каждой перезагрузки компьютера слетает uBlock ("Веб-страница не найдена") и восстанавливается ранее удалённое приложение "SmartAdv for Google Chrome".
Прошу о помощи.
Уважаемый(ая) zero_q, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Владимир\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe',''); QuarantineFile('c:\programdata\{5d8aed24-fb78-198b-5d8a-aed24fb7b493}\6658153483201130238e.exe',''); QuarantineFile('c:\programdata\{c6861030-ca44-2211-c686-61030ca440c3}\7442937573961557165e.exe',''); QuarantineFile('C:\Users\Владимир\AppData\Roaming\newSI_21\s_inst.exe',''); QuarantineFile('C:\Users\Владимир\AppData\Roaming\newSI_1799\s_inst.exe',''); QuarantineFile('C:\Users\Владимир\AppData\Roaming\newSI_1599\s_inst.exe',''); QuarantineFile('C:\Users\18EE~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\18EE~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\18EE~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('c:\programdata\{3d72f9f6-daae-f6ca-3d72-2f9f6daae7db}\hqghumeaylnlf.exe',''); QuarantineFile('C:\Program Files (x86)\metaCrawler\1.8.19.0\bh\metacrawler.dll',''); DelBHO('{D4EF7D75-52C9-4BCE-B6DC-0976EFAB4B0B}'); QuarantineFile('C:\Users\Владимир\AppData\Local\Microsoft\Extensions\extsetup.exe',''); QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe',''); DeleteService('{55685567-4840-4a91-962b-49a412e9485a}w64'); DeleteService('{55685567-4840-4a91-962b-49a412e9485a}Gw64'); QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys',''); QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys',''); DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtectTray.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AnyProtect'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AnyProtect Tray'); DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser'); DeleteFile('C:\Program Files (x86)\baidu\baidu.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','apphide'); DeleteFile('C:\Users\Владимир\AppData\Local\Microsoft\Extensions\extsetup.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser'); DeleteFile('C:\Program Files (x86)\metaCrawler\1.8.19.0\bh\metacrawler.dll','32'); DeleteFile('C:\Windows\Tasks\Bidaily Synchronize Task[8da6].job','64'); DeleteFile('c:\programdata\{3d72f9f6-daae-f6ca-3d72-2f9f6daae7db}\hqghumeaylnlf.exe','32'); DeleteFile('C:\Users\18EE~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\18EE~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\18EE~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\Владимир\AppData\Roaming\newSI_1599\s_inst.exe','32'); DeleteFile('C:\Users\Владимир\AppData\Roaming\newSI_1799\s_inst.exe','32'); DeleteFile('C:\Users\Владимир\AppData\Roaming\newSI_21\s_inst.exe','32'); DeleteFile('c:\programdata\{c6861030-ca44-2211-c686-61030ca440c3}\7442937573961557165e.exe','32'); DeleteFile('C:\Windows\Tasks\SpaceKeeper.job','64'); DeleteFile('C:\Windows\Tasks\newSI_21.job','64'); DeleteFile('C:\Windows\Tasks\newSI_1799.job','64'); DeleteFile('C:\Windows\Tasks\newSI_1599.job','64'); DeleteFile('C:\Windows\Tasks\MetaCrawler.job','64'); DeleteFile('C:\Windows\Tasks\DSite.job','64'); DeleteFile('C:\Windows\Tasks\Digital Sites.job','64'); DeleteFile('C:\Windows\system32\Tasks\Bidaily Synchronize Task[8da6]','64'); DeleteFile('C:\Windows\system32\Tasks\extsetup','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64'); DeleteFile('C:\Windows\system32\Tasks\newSI_1599','64'); DeleteFile('C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SpyHunter4Startup','64'); DeleteFile('C:\Users\Владимир\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Обновите базы AVZ
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Есть.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Готово.
Удалите в МВАМ все найденное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Готово.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Есть.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: Task: {062AF048-DCF6-4E48-BA9D-AFFFDCD0C672} - \extsetup No Task File <==== ATTENTION Task: {11CCBAFE-E2EE-49D6-8399-3E74C4A74861} - \BitGuard No Task File <==== ATTENTION Task: {34278F07-FCBB-4E65-920A-7250023C1AE9} - \DealPly No Task File <==== ATTENTION Task: {3BD556B8-AE31-4024-A951-D113D1D08004} - \KRB Updater Utility No Task File <==== ATTENTION Task: {4C8EF29F-2D9C-40E9-AAEC-C013F7CE816D} - \Microsoft\Windows\SafeBrowser No Task File <==== ATTENTION Task: {7ECBB6B3-9817-4DF2-9C99-663A7B8AD971} - \UpdateAdmin No Task File <==== ATTENTION Task: {D06A0769-85DD-4392-8398-06C81FB10784} - \Microsoft\Windows\extsetup No Task File <==== ATTENTION Task: {E0F0430B-11B8-40AA-B01C-12378F8220E5} - \VoiceDetector No Task File <==== ATTENTION Task: {E232CE52-B4D1-4969-B233-105B443A21E5} - \SpyHunter4Startup No Task File <==== ATTENTION Task: {F340D04D-F974-46A9-966B-77FAD9AA2952} - \EPUpdater No Task File <==== ATTENTION FirewallRules: [{082CBA69-ABB9-4C17-B69C-19E03EEC4B14}] => (Allow) C:\Users\Владимир\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe FirewallRules: [{F747D751-7993-4BBC-ACD3-2FFD994E08BF}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe FirewallRules: [{2C6C6024-BECD-49C4-98B6-F785234CA224}] => (Allow) C:\Users\Владимир\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe FirewallRules: [{4186C6A0-FD5F-48B0-B76C-5A993E39EE15}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe FirewallRules: [{57CDB0B2-31EC-4348-85DB-8E763D4FAEEB}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe FirewallRules: [{17ED8840-51A2-4C34-9B89-7471976F07CE}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe FirewallRules: [{83E49B1A-B826-4CFA-B0D7-7F7395205A4E}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe FirewallRules: [{5874A188-4799-43FF-AA8D-7CDCA603E5C0}] => (Allow) C:\Users\Владимир\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe FirewallRules: [{AE740749-85F2-4AAE-A9C9-68E893D07856}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=orgnl&cd=2XzuyEtN2Y1L1QzuyBzzzzyEtA0C0F0D0E0D0ByC0EyDtD0CtN0D0Tzu0CyDyDtCtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu&cr=1971665045&ir= SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=orgnl&cd=2XzuyEtN2Y1L1QzuyBzzzzyEtA0C0F0D0E0D0ByC0EyDtD0CtN0D0Tzu0CyDyDtCtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu&cr=1971665045&ir= SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=orgnl&cd=2XzuyEtN2Y1L1QzuyBzzzzyEtA0C0F0D0E0D0ByC0EyDtD0CtN0D0Tzu0CyDyDtCtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu&cr=1971665045&ir= SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=orgnl&cd=2XzuyEtN2Y1L1QzuyBzzzzyEtA0C0F0D0E0D0ByC0EyDtD0CtN0D0Tzu0CyDyDtCtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu&cr=1971665045&ir= SearchScopes: HKU\S-1-5-21-30179338-458707370-232559643-1000 -> Yandex URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=290412_4_crm&babsrc=SP_ss&mntrId=56f3e50c0000000000006427379f5939 BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File FF Plugin-x32: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File OPR Extension: (Smart Browser™) - C:\Users\Владимир\AppData\Roaming\Opera Software\Opera Stable\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2015-07-30] OPR Extension: (Smart Browser™) - C:\Users\Владимир\AppData\Roaming\Opera Software\Opera Stable\Extensions\iblenkmcolcdonmlfknbpbgjebabcoae [2015-07-26] 2015-07-24 12:05 - 2015-07-30 19:58 - 00000000 ____D C:\Users\Владимир\AppData\Local\Kometa 2015-07-24 12:05 - 2015-07-24 12:09 - 00000000 ____D C:\Users\Все пользователи\KRB Updater Utility 2015-07-24 12:05 - 2015-07-24 12:09 - 00000000 ____D C:\ProgramData\KRB Updater Utility 2015-07-24 12:05 - 2015-07-24 12:06 - 00000000 ____D C:\Program Files (x86)\Kinoroom Browser 2015-07-24 12:05 - 2015-07-24 12:05 - 00001978 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kinoroom Browser.lnk 2015-07-22 18:04 - 2015-08-02 12:04 - 00000360 _____ C:\Windows\Tasks\VoiceDetector.job 2015-07-13 13:06 - 2015-07-13 13:06 - 00000000 ____D C:\Users\Public\QiYi 2015-07-13 13:04 - 2015-07-13 13:43 - 00000000 ____D C:\Users\Владимир\AppData\Roaming\cpuminer 2015-08-02 11:27 - 2013-09-14 13:03 - 00000000 ____D C:\Users\Все пользователи\BitGuard 2015-08-02 11:27 - 2013-09-14 13:03 - 00000000 ____D C:\ProgramData\BitGuard 2015-08-02 11:27 - 2013-06-03 20:26 - 00000000 ____D C:\Users\Владимир\AppData\Roaming\BabSolution 2015-08-02 11:27 - 2013-06-03 20:25 - 00000000 ____D C:\Users\Владимир\AppData\Roaming\DSite 2015-04-20 10:49 - 2015-04-20 10:49 - 0000042 _____ () C:\Users\Владимир\AppData\Roaming\3B94BC79971 C:\Users\Владимир\AppData\Local\Temp\lvbQgkuhaSxT.exe Reboot:
- Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Есть.
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Да, спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\metacrawler\1.8.19.0\bh\metacrawler.dll - not-a-virus:WebToolbar.Win32.Montiera.ax
- c:\programdata\{3d72f9f6-daae-f6ca-3d72-2f9f6daae7db}\hqghumeaylnlf.exe - not-a-virus:RiskTool.Win32.OptimizerPro.e ( DrWEB: Program.Unwanted.274 )
- c:\users\владимир\appdata\roaming\mediahit\shadow\ mediahit.update\mediahit.update.process.exe - not-a-virus:HEUR:Downloader.Win32.LMN.gen ( DrWEB: Adware.Downware.6450 )
Уважаемый(ая) zero_q, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.