вирус в браузерер

**RubichekS** · 21.10.2015, 23:41

Здравствуйте, посмотрите пж логи при работе в инете поймал вирус

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 21.10.2015, 23:42

Уважаемый(ая) RubichekS, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 22.10.2015, 08:37

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Windows\system32\drivers\tsskx64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\plugins\FileSmash\QMSoftExt.dll', '32');
 DeleteService('TSSKX64');
 DeleteService('TS888x64');
 DeleteService('QMUdisk');
 DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ua_025010027', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Persistence', 'command');
ExecuteSysClean;
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**RubichekS** · 22.10.2015, 11:25

отчеты

**Vvvyg** · 22.10.2015, 11:38

Утилиты, стартовые страницы, поиск от Mail.ru нужны?

**RubichekS** · 22.10.2015, 11:43

нет не нужны удалял

**Vvvyg** · 22.10.2015, 11:59

Удалите Java(TM) 6 Update 20, это древняя версия со множеством критических уязвимостей.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=98388105_hao_pg
HKU\S-1-5-21-1765219624-3621806196-2276160259-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=openpart
SearchScopes: HKU\S-1-5-21-1765219624-3621806196-2276160259-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=newcustom15
SearchScopes: HKU\S-1-5-21-1765219624-3621806196-2276160259-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=newcustom15
BHO-x32: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Admin\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2015-08-28] (Mail.Ru)
FF DefaultSearchEngine: РџРѕРёСЃРє@Mail.Ru
FF SelectedSearchEngine: РџРѕРёСЃРє@Mail.Ru
FF Homepage: hxxp://mail.ru/cnt/10445?gp=newcustom15
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2015-10-16]
FF Extension: Поиск@Mail.Ru - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2015-10-16]
FF Extension: Спутник @Mail.Ru - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2013-10-13] [not signed]
FF Extension: AdBlock - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [2015-10-16] [not signed]
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2015-10-16] [not signed]
CHR HomePage: Default -> mail.ru/cnt/11956636
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart",""
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
2015-10-18 16:36 - 2015-10-18 16:36 - 00000000 ____D C:\ProgramData\EzteCezN
2015-10-18 12:37 - 2015-10-18 12:37 - 00000000 ____D C:\ProgramData\QUqbnovlGOfe
2015-10-17 16:04 - 2015-10-17 16:04 - 00000000 ____D C:\Users\Все пользователи\RlDfKxNZFAFkE
2015-10-17 16:04 - 2015-10-17 16:04 - 00000000 ____D C:\Users\Admin\AppData\Local\PhIrOLaavGBcsSI
2015-10-17 12:04 - 2015-10-17 12:04 - 00000000 ____D C:\Windows\SysWOW64\MailProducts
2015-10-17 12:04 - 2015-10-17 12:04 - 00000000 ____D C:\Users\Все пользователи\gYIPxGq
2015-10-17 12:04 - 2015-10-17 12:04 - 00000000 ____D C:\Users\Admin\AppData\Local\GVsQNtEcQKEeQt
2015-10-17 12:04 - 2015-10-17 12:04 - 00000000 ____D C:\ProgramData\gYIPxGq
2015-10-16 18:51 - 2015-10-16 18:51 - 00000000 ____D C:\Users\Все пользователи\gxvnvvyBdqSJtH
2015-10-16 18:51 - 2015-10-16 18:51 - 00000000 ____D C:\Users\Admin\AppData\Local\EfVyaCEIB
2015-10-16 18:51 - 2015-10-16 18:51 - 00000000 ____D C:\ProgramData\gxvnvvyBdqSJtH
2015-10-16 10:58 - 2015-10-16 10:58 - 00000461 _____ C:\Users\Все пользователи\oBNIujLtBp5.bat
2015-10-16 10:58 - 2015-10-16 10:58 - 00000461 _____ C:\ProgramData\oBNIujLtBp5.bat
2015-10-16 10:58 - 2015-10-16 10:58 - 00000018 _____ C:\Users\Все пользователи\55
2015-10-16 10:58 - 2015-10-16 10:58 - 00000018 _____ C:\ProgramData\55
2015-10-16 10:58 - 2015-10-16 10:58 - 00000013 _____ C:\ProgramData\54
2015-10-16 10:58 - 2015-10-16 10:58 - 00000013 _____ C:\ProgramData\53
2015-10-16 10:58 - 2015-10-16 10:58 - 00000013 _____ C:\ProgramData\52
2015-10-16 10:58 - 2015-10-16 10:58 - 00000013 _____ C:\ProgramData\51
2015-10-16 10:58 - 2015-10-16 10:58 - 00000013 _____ C:\ProgramData\50
2015-10-16 10:58 - 2015-10-16 10:58 - 00000000 ____D C:\Users\Admin\AppData\Local\VRpIe
2015-10-16 10:57 - 2015-10-21 23:17 - 00000000 ____D C:\Program Files (x86)\HP Defender
2015-10-18 19:01 - 2015-08-28 19:52 - 00000000 ____D C:\Users\Admin\AppData\Local\Amigo
2015-10-18 19:03 - 2015-08-28 19:54 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2015-10-18 19:03 - 2015-08-28 19:51 - 00000000 ____D C:\Users\Admin\AppData\Local\Mail.Ru
2015-10-18 19:01 - 2015-08-28 19:52 - 00000000 ____D C:\Users\Admin\AppData\Local\Amigo
2015-10-16 12:01 - 2015-08-28 19:51 - 00000000 ____D C:\ProgramData\Mail.Ru
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ua_025010027" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidusdTray" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup" /f
Reg: reg delete "HKLM-x32\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Zona" /f
CMD: ipconfig /flushdns
InternetURL: C:\Users\Admin\Favorites\Mail.Ru Агент - используй для общения!.url -> hxxp://agent.mail.ru
InternetURL: C:\Users\Admin\Favorites\Mail.Ru.url -> hxxp://www.mail.ru
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zona.lnk
C:\Users\Admin\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**RubichekS** · 22.10.2015, 13:27

сообщение об обновлении браузера не появляется. Java удалил

**Vvvyg** · 22.10.2015, 14:50

Удалите папку C:\FRST со всем содержимым.

В Avast: Настойки -> Антивирусная защита -> Экран файловой системы -> чувствительность -> поставить галку на "Искать потенциально нежелательные программы (ПНП)".
Убедитесь также, что включены в разделе настройки -> Антивирус DeepScreen и Усиленный режим хотя бы как "Умеренный". Это в какой-то мере оградит от запуска разных мусорных программ, коих Вы словили ольшое количество.

Выполните рекомендации после лечения.

**RubichekS** · 22.10.2015, 15:39

спасибо! Жаль только что вся история с закладками удалилась.

вирус в браузерер (заявка № 191646)

Опции темы