На днях как обычно это бывает клацнул неглядя пару "да". Результат: установленный набор из китайского антивируса "tencent" + еще какие то программы + mailware. Программы и tencent как то осилил. А вот последний никак удалить не могу. Прошу помогите!
Симптомы:
1. Создается каталог (как не удаляй) C:\ProgramData\Browsers\ Содержимое: http://prntscr.com/865n40
2. Во всех браузерах, как только ими попользоваться меняется путь объекта ярлыков: C:\ProgramData\Browsers\browser0.bat, или /browser1 (2 или 3 и т.п.) .bat, на каждый браузер создается свой файл бат в папке пункта 1.
3. Естественно браузер выдает стартовую страницу http://searclhe-poisc.ru/, которая редиректит на чего попало.
4. Был произведен полный скан - kis2015, avast, reason (reason нашел 7 файлов связанных с китайским антивирусом и разные PUP) - все лечил и удалял. Kis, avast - угроз не обнаружено. Также произведен полный скан в безопасном режиме - утилитой доктор веба и касперского, рекомендуемых на этом форуме - ничего не нашли.
Идеи чем воспользоваться и вылечить - больше не приходят в голову. А ярлыки все подменяются, сколько бы их не фиксить.
Заранее благодарен за помощь! Логи во вложении (их 2, т.к. 64-разрядная 7 виндовс стоит, если я все правильно понял)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) DmitrySEO, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запускайте HijackThis правой кнопкой мыши - "Запуск от имени Администратора".
Пофиксите в HijackThis только указанные строки (как пофиксить):
Код:
R3 - URLSearchHook: (no name) - {2E57EF74-B069-48AF-AE59-FA284881F311} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):
Установите все обновления безопасности, вышедшие после SP1.
Выполните скрипт в AVZ отсюда, скопировав там весь текст (как выполнить):
(копировать при включенной русской раскладке) http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.
Обновления рекомендую установить, когда время появится.
- - - - -Добавлено - - - - -
Угу... вчера не было, сегодня есть один:
https://www.virustotal.com/ru/file/4cf8423777ef78ab0d2a0cab051dc8251f141832baa5a08d7d f75638e05a3ba5/analysis/1440078733/
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: