при запуске firefox происходит перенаправление н арекламные сайты [not-a-virus:Downloader.Win32.Agent.eatt
]
Добрый день.
Подскажите пожалуйста в чем может быть дело? Запустил сомнительный exe-файл с отключенным антивирусом. В результате при использовании браузера firefox, при его запуске происходит перенаправление на рекламные сайты. Пролечил комп drwebcureit!. Были обнаружены несколько троянов, удалены. Результатов это не дало. При запуске программы через ярлык, если потом посмотреть в свойствах ярлыка путь до него меняется со стандартного до C:\ProgramData\Browsers\browser5.bat. Пробовал пересоздавать ярлык, после нескольких использований путь до программы в свойствах ярлыка также видоизменяется на упомянутый выше. Пробовал удалять данный пакетный файл browser5.bat. Он создается вновь. В системных логах не обнаружил никаких записей относительно этой активности. Прикрепляю логи AVZ и hijackthis.
Заранее спасибо!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) azat190588, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Азат\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','');
QuarantineFile('C:\Users\Азат\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\ProgramData\Browsers\browser6.bat','');
DeleteFile('C:\ProgramData\Browsers\browser6.bat','32');
DeleteFile('C:\Users\Азат\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Азат\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением в Вашей теме.
Спасибо за ответ. Файл с карантином к сожалению не прикрепляется. Система выдает ошибку о том что невозможно прикрепить файл, так как он ранее был уже загружен. Остальное прикрепил.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Прикрепляю запрошенный лог. Также я обнаружил на системном томе странную папку, возможно она создалась при обновлении до Windows 10. Прикрепляю скриншоты, может быть посмотрите что с ней сделать? Возможно нужно удалить. Папка скрытая. Особенно настораживает на мой взгляд вложенная папка "Panther".
удалил и снова поставил firefox, отключил все расширения. при старте Windows отрабатывают какие-то скрипты (видно окно консоли секунду), путь до ярлыка firefox постоянно заменяется на C:\ProgramData\Browsers\browser5.bat (пробовал удалять и создавать ярлык вновь, не помогло), пробовал удалять этот пакетный файл browser 5.bat, он вновь появляется, когда запускаешь firefox. Прикрепляю содержимое папки C:\ProgramData\Browsers, а также содержание 3 текстовых файлов, которые там находятся.
Последний раз редактировалось azat190588; 21.08.2015 в 08:35.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет. Делай добро и бросай его в воду.
Осталась, по-прежнему при старте firefox происходит переадресация на рекламный контент. По-прежнему создаются "левые" файлы в папке C:\Program Data\Browsers, о которых упоминал выше. При старте системы на секунду мелькает окно консоли и закрывается само.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Удалите всё в Malwarebytes Anti-Malware, сделайте новый лог Malwarebytes Anti-Malware.
Virusinfo - за чистый Интернет. Делай добро и бросай его в воду.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: