после smartinf.ru

[nmrjr]

хотел бы проверится у вас после smartinf.ru

[Info_bot]

Уважаемый(ая) nmrjr, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
 RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000');
 RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Подготовьте лог AdwCleaner и приложите его в теме.

[nmrjr]

Скрипт выполнил
Adwcleaner попытался запустить от имени администратора
Инструкция по адресу "0x004211de" обратилась к памяти по адресу "0x00ebf000". Память не может быть "read".

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[nmrjr]

Надеюсь они не украли пароли. Если да то плохо

[SQ]

Вам знакомы следующие настройки?

Код:

HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
HKU\S-1-5-19\...\Policies\system: [NoInternetOpenWith] 1
HKU\S-1-5-19\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoThumbnailCache] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-20\...\Policies\system: [NoInternetOpenWith] 1
HKU\S-1-5-20\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoThumbnailCache] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-21-1993962763-616249376-1417001333-1003\...\Policies\system: [NoInternetOpenWith] 1
HKU\S-1-5-21-1993962763-616249376-1417001333-1003\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-21-1993962763-616249376-1417001333-1003\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-21-1993962763-616249376-1417001333-1003\...\Policies\Explorer: [NoThumbnailCache] 1
HKU\S-1-5-21-1993962763-616249376-1417001333-1003\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-18\...\Policies\system: [NoInternetOpenWith] 1
HKU\S-1-5-18\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoThumbnailCache] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoSMConfigurePrograms] 1

Вам знакомы следующий драйвер и каталоги?

Код:

S1 DMFilter; system32\drivers\DMFilter.sys [X]
2016-01-24 00:31 - 2016-01-24 00:31 - 00000000 _____ C:\folder
2016-01-01 00:51 - 2013-05-09 19:55 - 00000000 ____D C:\$$$Trash$$$

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  GroupPolicyScripts: Restriction <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  SearchScopes: HKU\S-1-5-21-1993962763-616249376-1417001333-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ARS&o=15084&src=crm&q={searchTerms}&locale=ru_RU&apn_ptnrs=AG&apn_dtid=YYYYYYYYRU&apn_uid=5746794D-7994-4490-BEF9-E7E727AF7144&apn_sauid=0BD959A7-CB3C-453C-A6EB-E92BC489BA78
  BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
  Toolbar: HKU\S-1-5-21-1993962763-616249376-1417001333-1003 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
  Toolbar: HKU\S-1-5-21-1993962763-616249376-1417001333-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  Toolbar: HKU\S-1-5-21-1993962763-616249376-1417001333-1003 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
  StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mysites123.com/?type=sc&ts=1453454775&z=95234db72b3ba932eccbc09gbz2w7c7z8w4bfq9w7z&from=wscy2&uid=ST2000VX000-1ES164_W4Z219F4XXXXW4Z219F4
  FF DefaultSearchEngine: mysites123
  FF SelectedSearchEngine: mysites123
  FF SearchPlugin: C:\Documents and Settings\UserXP\Application Data\Mozilla\Firefox\Profiles\ehdd7sli.default\searchplugins\mysites123.xml [2016-01-24]
  FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Documents and Settings\UserXP\Application Data\Mozilla\Firefox\Profiles\ehdd7sli.default\extensions\[email protected] => not found
  FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Documents and Settings\UserXP\Application Data\Mozilla\Firefox\Profiles\ehdd7sli.default\extensions\[email protected] => not found
  FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=801003",
           "hxxp://www.mysites123.com/?type=hp&ts=1453454775&z=95234db72b3ba932eccbc09gbz2w7c7z8w4bfq9w7z&from=wscy2&uid=ST2000VX000-1ES164_W4Z219F4XXXXW4Z219F4"
  CHR NewTab: Default -> "chrome-extension://iflppbjnpneiigcbdfjpnkebidmkjmoi/visual-bookmarks.html",
              "chrome-extension://pnooffjhclkocplopffdbcdghmiffhji/visual-bookmarks.html"
           CHR DefaultSearchURL: Default -> hxxp://mysites123.com/web?type=ds&ts=1453454775&z=95234db72b3ba932eccbc09gbz2w7c7z8w4bfq9w7z&from=wscy2&uid=ST2000VX000-1ES164_W4Z219F4XXXXW4Z219F4&q={searchTerms}
  CHR DefaultSearchKeyword: Default -> mysites123
  CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\46.0.2490.80\pdf.dll => No File
  CHR Plugin: (Google Gears 0.5.33.0) - C:\Program Files\Google\Chrome\Application\46.0.2490.80\gears.dll => No File
  CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\46.0.2490.80\gcswf32.dll => No File
  CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll => No File
  CHR Plugin: (Java Deployment Toolkit 6.0.180.7) - C:\Program Files\Java\jre6\bin\new_plugin\npdeploytk.dll => No File
  CHR Plugin: (Java(TM) Platform SE 6 U18) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll => No File
  CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.2.183.39\npGoogleOneClick8.dll => No File
  CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll => No File
  CHR HKLM\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
  CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
  StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.mysites123.com/?type=sc&ts=1453454775&z=95234db72b3ba932eccbc09gbz2w7c7z8w4bfq9w7z&from=wscy2&uid=ST2000VX000-1ES164_W4Z219F4XXXXW4Z219F4
  StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe hxxp://www.mysites123.com/?type=sc&ts=1453454775&z=95234db72b3ba932eccbc09gbz2w7c7z8w4bfq9w7z&from=wscy2&uid=ST2000VX000-1ES164_W4Z219F4XXXXW4Z219F4
  2016-01-24 00:14 - 2016-01-28 06:41 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\KRB Updater Utility
  2016-01-24 00:12 - 2016-01-24 08:32 - 00000000 ____D C:\Program Files\Kinoroom Browser
  2016-01-22 13:27 - 2016-01-24 08:29 - 00000000 ____D C:\Documents and Settings\UserXP\Application Data\mysites123
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[nmrjr]

нет ключи не знакомы

[SQ]

Вам знакомы следующий драйвер и каталоги?

Код:

S1 DMFilter; system32\drivers\DMFilter.sys [X]
2016-01-24 00:31 - 2016-01-24 00:31 - 00000000 _____ C:\folder
2016-01-01 00:51 - 2013-05-09 19:55 - 00000000 ____D C:\$$$Trash$$$

А что насчет этого?

[nmrjr]

Dmfilter -- был случай когда не удавалось сохранить word-овский текст. Он так и пропал
folder -- без понятия что это такое; сейчас его не видно
Trash -- не знаю что но есть на C:\ и L:\

по поводу ключей - это программа WinLessa. Она нужна для работы

[SQ]

Dmfilter -- был случай когда не удавалось сохранить word-овский текст. Он так и пропал

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\drivers\DMFilter.sys','');
BC_ImportQuarantineList;;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
Код:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

folder -- без понятия что это такое; сейчас его не видно
Trash -- не знаю что но есть на C:\ и L:\

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  2016-01-24 00:31 - 2016-01-24 00:31 - 00000000 _____ C:\folder
  Folder: C:\$$$Trash$$$
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[nmrjr]

Я его сжал, что бы он влез

[SQ]

Соглано логам каталог "C:\$$$Trash$$$" уже длительно время у Вас на ПК возможно от ПО которые Вы используете.

Что с проблемой?

[nmrjr]

Вроде нормально

[SQ]

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.

2. Запустите DelFix.
Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

4. Нажмите на кнопку Run.

5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt

6. Прикрепите этот отчет в вашей теме.


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[nmrjr]

прикрепил

[SQ]

на этом все.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены