Здравствуйте. При открытии браузера хром, открывается страница удалено. добавляется расширение с иероглифами.
Здравствуйте. При открытии браузера хром, открывается страница удалено. добавляется расширение с иероглифами.
Последний раз редактировалось regist; 14.11.2015 в 14:23. Причина: вирусная ссылка
Уважаемый(ая) tjspy, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); StopService('24FFC26'); StopService('282D589'); StopService('36841F4'); StopService('7DC3542'); StopService('833A4B6'); StopService('8829A33'); QuarantineFile('C:\Windows\TEMP\24FFC26.sys', ''); QuarantineFile('C:\Windows\TEMP\282D589.sys', ''); QuarantineFile('C:\Windows\TEMP\36841F4.sys', ''); QuarantineFile('C:\Windows\TEMP\7DC3542.sys', ''); QuarantineFile('C:\Windows\TEMP\833A4B6.sys', ''); QuarantineFile('C:\Windows\TEMP\8829A33.sys', ''); QuarantineFile('C:\Windows\system32\Drivers\swsedrvr_vw_1_10_0_25.sys', ''); QuarantineFile('C:\ProgramData\Bamcof\Bamcof.exe', ''); QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-11.exe', ''); QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-1-7.exe', ''); QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\thlbl.exe', ''); QuarantineFile('C:\Program Files\globalUpdate\Update\globalupdate.exe', ''); QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', ''); QuarantineFileF('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0); QuarantineFile('C:\Users\МАРИЯ\AppData\Local\Microsoft\Extensions\safebrowser.exe', ''); QuarantineFile('C:\ProgramData\lljbbjehdkha.dll', ''); QuarantineFile('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\0.8', ''); QuarantineFile('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\QKuiGdNMz1.bat', ''); QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Browsers\exe.resworb.bat', ''); QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe', ''); QuarantineFile('C:\Program Files\Microsoft', ''); QuarantineFile('Data\InstallAddons.exe', ''); QuarantineFileF('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\', '*', true, '', 0, 0); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job', '32'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job', '32'); DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe', '32'); DeleteFile('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\thlbl.exe', '32'); DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-1-7.exe', '32'); DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-1-7', '32'); DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-11', '32'); DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-11.exe', '32'); DeleteFile('C:\Users\МАРИЯ\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32'); DeleteFile('C:\ProgramData\lljbbjehdkha.dll', '32'); DeleteFile('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\0.8', '32'); DeleteFile('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\QKuiGdNMz1.bat', '32'); DeleteFile('C:\Users\МАРИЯ\AppData\Roaming\Browsers\exe.resworb.bat', '32'); DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe', '32'); DeleteFile('C:\Program Files\Microsoft', '32'); DeleteFile('Data\InstallAddons.exe', '32'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "chrome5" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "chrome5_logon" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true); DeleteFileMask('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\', '*', true); DeleteFileMask('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\', '*', true); DeleteDirectory('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\'); QuarantineFileF('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0); DeleteFileMask('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\', '*', true); DeleteDirectory('C:\Program Files\Common Files\{B1A0E80C-E6ED-4C67-A7F3-00DF766E8DE1}\'); DeleteDirectory('C:\Users\МАРИЯ\AppData\Local\LSHEMUL\'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{646BAAE7-7538-4866-8EEE-974C0AA910AB}'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
готово
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); StopService('wwfd_vt_1_10_0_24'); QuarantineFile('F:\autorun.inf', ''); QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk', ''); QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех (2).lnk', ''); QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk', ''); QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехрlоrеr Вrоwsеr.lnk', ''); QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk', ''); QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk', ''); QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk', ''); QuarantineFile('C:\Users\МАРИЯ\Desktop\неиспользуемые ярлыки\iехplоrе - Ярлык.lnk', ''); QuarantineFile('C:\Users\МАРИЯ\Desktop\неиспользуемые ярлыки\iехplоrе 8.lnk', ''); QuarantineFile('C:\Users\МАРИЯ\AppData\Local\Yandex.bat', ''); QuarantineFile('C:\ProgramData\enUXFQnZdR\RZgPpRwRJUkmfi5.bat', ''); QuarantineFileF('C:\ProgramData\enUXFQnZdR\', '*', true, '', 0, 0); QuarantineFileF('C:\Program Files\Common Files\{CF975636-4F50-4F98-8B50-4780EBF49956}', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0); QuarantineFile('C:\Windows\system32\Drivers\swsedrvr_vw_1_10_0_25.sys', ''); QuarantineFile('C:\ProgramData\Bamcof\Bamcof.exe', ''); QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-6.exe', ''); QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-5.exe', ''); QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-3.exe', ''); QuarantineFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-1-6.exe', ''); QuarantineFile('C:\Users\?????\AppData\Roaming\v5STjPiVU2xeLBZdd1n3vW.exe', ''); QuarantineFile('C:\Users\?????\AppData\Roaming\joGQ11VQhFO.exe', ''); QuarantineFile('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\thlbl.exe', ''); QuarantineFile('C:\Users\МАРИЯ\AppData\Local\Microsoft\Extensions\safebrowser.exe', ''); QuarantineFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys', ''); DeleteFile('F:\autorun.inf', '32'); DeleteFile('C:\Users\МАРИЯ\AppData\Local\Yandex.bat', ''); DeleteFile('C:\ProgramData\enUXFQnZdR\RZgPpRwRJUkmfi5.bat', ''); DeleteFile('C:\Windows\system32\drivers\wwfd_vt_1_10_0_24.sys', '32'); DeleteFile('C:\Users\МАРИЯ\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32'); DeleteFile('C:\Windows\Tasks\jjk Files Update Ver 20151029.job', '32'); DeleteFile('C:\Users\МАРИЯ\AppData\Roaming\afght\gqyuak\thlbl.exe', '32'); DeleteFile('C:\Windows\Tasks\joGQ11VQhFO.job', '32'); DeleteFile('C:\Users\?????\AppData\Roaming\joGQ11VQhFO.exe', '32'); DeleteFile('C:\Users\?????\AppData\Roaming\v5STjPiVU2xeLBZdd1n3vW.exe', '32'); DeleteFile('C:\Windows\Tasks\v5STjPiVU2xeLBZdd1n3vW.job', '32'); DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-1-6.exe', '32'); DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-1-6', '32'); DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-3.exe', '32'); DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-3', '32'); DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-5.exe', '32'); DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-5', '32'); DeleteFile('C:\Windows\system32\Tasks\1a46a150-53e5-4309-be09-7848c9866b7b-6', '32'); DeleteFile('C:\Program Files\Cinema_Plus1.2V28.10\1a46a150-53e5-4309-be09-7848c9866b7b-6.exe', '32'); DeleteFile('C:\ProgramData\Bamcof\Bamcof.exe', '32'); DeleteFile('C:\Windows\system32\Drivers\swsedrvr_vw_1_10_0_25.sys', '32'); DeleteService('wwfd_vt_1_10_0_24'); DeleteFileMask('C:\ProgramData\enUXFQnZdR\', '*', true); DeleteFileMask('C:\Program Files\Common Files\{CF975636-4F50-4F98-8B50-4780EBF49956}', '*', true); DeleteDirectory('C:\ProgramData\enUXFQnZdR\'); DeleteDirectory('C:\Program Files\Common Files\{CF975636-4F50-4F98-8B50-4780EBF49956}'); DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}'); DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 47
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\bamcof\bamcof.exe - not-a-virus:AdWare.Win32.Agent.jlir ( AVAST4: Win32:Adware-gen [Adw] )
- c:\windows\system32\drivers\swsedrvr_vw_1_10_0_25. sys - not-a-virus:AdWare.Win32.Vitruvian.s
Уважаемый(ая) tjspy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.