хотел бы проверится у вас после smartinf.ru
хотел бы проверится у вас после smartinf.ru
Уважаемый(ая) nmrjr, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000'); RebootWindows(false); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Скрипт выполнил
Adwcleaner попытался запустить от имени администратора
Инструкция по адресу "0x004211de" обратилась к памяти по адресу "0x00ebf000". Память не может быть "read".
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Надеюсь они не украли пароли. Если да то плохо
Вам знакомы следующие настройки?
Код:HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1 HKU\S-1-5-19\...\Policies\system: [NoInternetOpenWith] 1 HKU\S-1-5-19\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoThumbnailCache] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-20\...\Policies\system: [NoInternetOpenWith] 1 HKU\S-1-5-20\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoThumbnailCache] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-21-1993962763-616249376-1417001333-1003\...\Policies\system: [NoInternetOpenWith] 1 HKU\S-1-5-21-1993962763-616249376-1417001333-1003\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-21-1993962763-616249376-1417001333-1003\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1993962763-616249376-1417001333-1003\...\Policies\Explorer: [NoThumbnailCache] 1 HKU\S-1-5-21-1993962763-616249376-1417001333-1003\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-18\...\Policies\system: [NoInternetOpenWith] 1 HKU\S-1-5-18\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoThumbnailCache] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoSMConfigurePrograms] 1
Вам знакомы следующий драйвер и каталоги?
Код:S1 DMFilter; system32\drivers\DMFilter.sys [X] 2016-01-24 00:31 - 2016-01-24 00:31 - 00000000 _____ C:\folder 2016-01-01 00:51 - 2013-05-09 19:55 - 00000000 ____D C:\$$$Trash$$$
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION SearchScopes: HKU\S-1-5-21-1993962763-616249376-1417001333-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ARS&o=15084&src=crm&q={searchTerms}&locale=ru_RU&apn_ptnrs=AG&apn_dtid=YYYYYYYYRU&apn_uid=5746794D-7994-4490-BEF9-E7E727AF7144&apn_sauid=0BD959A7-CB3C-453C-A6EB-E92BC489BA78 BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File Toolbar: HKU\S-1-5-21-1993962763-616249376-1417001333-1003 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File Toolbar: HKU\S-1-5-21-1993962763-616249376-1417001333-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-1993962763-616249376-1417001333-1003 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mysites123.com/?type=sc&ts=1453454775&z=95234db72b3ba932eccbc09gbz2w7c7z8w4bfq9w7z&from=wscy2&uid=ST2000VX000-1ES164_W4Z219F4XXXXW4Z219F4 FF DefaultSearchEngine: mysites123 FF SelectedSearchEngine: mysites123 FF SearchPlugin: C:\Documents and Settings\UserXP\Application Data\Mozilla\Firefox\Profiles\ehdd7sli.default\searchplugins\mysites123.xml [2016-01-24] FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Documents and Settings\UserXP\Application Data\Mozilla\Firefox\Profiles\ehdd7sli.default\extensions\[email protected] => not found FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Documents and Settings\UserXP\Application Data\Mozilla\Firefox\Profiles\ehdd7sli.default\extensions\[email protected] => not found FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=801003", "hxxp://www.mysites123.com/?type=hp&ts=1453454775&z=95234db72b3ba932eccbc09gbz2w7c7z8w4bfq9w7z&from=wscy2&uid=ST2000VX000-1ES164_W4Z219F4XXXXW4Z219F4" CHR NewTab: Default -> "chrome-extension://iflppbjnpneiigcbdfjpnkebidmkjmoi/visual-bookmarks.html", "chrome-extension://pnooffjhclkocplopffdbcdghmiffhji/visual-bookmarks.html" CHR DefaultSearchURL: Default -> hxxp://mysites123.com/web?type=ds&ts=1453454775&z=95234db72b3ba932eccbc09gbz2w7c7z8w4bfq9w7z&from=wscy2&uid=ST2000VX000-1ES164_W4Z219F4XXXXW4Z219F4&q={searchTerms} CHR DefaultSearchKeyword: Default -> mysites123 CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\46.0.2490.80\pdf.dll => No File CHR Plugin: (Google Gears 0.5.33.0) - C:\Program Files\Google\Chrome\Application\46.0.2490.80\gears.dll => No File CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\46.0.2490.80\gcswf32.dll => No File CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll => No File CHR Plugin: (Java Deployment Toolkit 6.0.180.7) - C:\Program Files\Java\jre6\bin\new_plugin\npdeploytk.dll => No File CHR Plugin: (Java(TM) Platform SE 6 U18) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll => No File CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.2.183.39\npGoogleOneClick8.dll => No File CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll => No File CHR HKLM\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.mysites123.com/?type=sc&ts=1453454775&z=95234db72b3ba932eccbc09gbz2w7c7z8w4bfq9w7z&from=wscy2&uid=ST2000VX000-1ES164_W4Z219F4XXXXW4Z219F4 StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe hxxp://www.mysites123.com/?type=sc&ts=1453454775&z=95234db72b3ba932eccbc09gbz2w7c7z8w4bfq9w7z&from=wscy2&uid=ST2000VX000-1ES164_W4Z219F4XXXXW4Z219F4 2016-01-24 00:14 - 2016-01-28 06:41 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\KRB Updater Utility 2016-01-24 00:12 - 2016-01-24 08:32 - 00000000 ____D C:\Program Files\Kinoroom Browser 2016-01-22 13:27 - 2016-01-24 08:29 - 00000000 ____D C:\Documents and Settings\UserXP\Application Data\mysites123 EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Последний раз редактировалось SQ; 30.01.2016 в 14:56.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
нет ключи не знакомы
Dmfilter -- был случай когда не удавалось сохранить word-овский текст. Он так и пропал
folder -- без понятия что это такое; сейчас его не видно
Trash -- не знаю что но есть на C:\ и L:\
по поводу ключей - это программа WinLessa. Она нужна для работы
Последний раз редактировалось nmrjr; 30.01.2016 в 21:35.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin QuarantineFile('C:\WINDOWS\system32\drivers\DMFilter.sys',''); BC_ImportQuarantineList;; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Код:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: 2016-01-24 00:31 - 2016-01-24 00:31 - 00000000 _____ C:\folder Folder: C:\$$$Trash$$$ Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Я его сжал, что бы он влез
Соглано логам каталог "C:\$$$Trash$$$" уже длительно время у Вас на ПК возможно от ПО которые Вы используете.
Что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Вроде нормально
1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.
2. Запустите DelFix.
Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run.
5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
6. Прикрепите этот отчет в вашей теме.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
прикрепил
на этом все.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) nmrjr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.