Здравствуйте, при скачивании файла с торрента установились программы ubar так же при переходе на алиэкспресс были многочисленные редиректы
Здравствуйте, при скачивании файла с торрента установились программы ubar так же при переходе на алиэкспресс были многочисленные редиректы
Уважаемый(ая) GetPost, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание
Не включайте AVZPM в AVZ без особого указания
В меню выполните AVZPM -> Удалить драйвер расширенного мониторинга процессов.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); StopService('UbarCalloutDriver'); QuarantineFile('C:\Program Files\UBar\UbarService.exe', ''); QuarantineFile('C:\Program Files\UBar\UbarDriver.sys', ''); DeleteFile('C:\Program Files\UBar\UbarService.exe', '32'); DeleteFile('C:\Program Files\UBar\UbarDriver.sys', '32'); DeleteFile('C:\Users\CA81~1\AppData\Local\Temp\Rar$EX73.171\Quick Unpack 2.2\Engine.sys', '32'); DeleteFile('Service.exe', '32'); DeleteService('UbarPolicyProvider'); DeleteService('UbarCalloutDriver'); DeleteService('Engine'); DeleteFileMask('C:\Program Files\UBar', '*', true); DeleteDirectory('C:\Program Files\UBar'); DeleteDirectory('C:\Users\Миша\AppData\Local\Mail.Ru'); DelBHO('!{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}'); DelBHO('{898EA8C8-E7FF-479B-8935-AEC46303B9E5}'); ExecuteFile('schtasks.exe', '/delete /TN "{29333691-CFFA-459A-9E7C-485357A6D540}" /F', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ProxyCap'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GreedyTorrent'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Window Hide Tool'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DrugVokrug'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GameCenterMailRu'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(1); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
WBR,
Vadim
Готово
- Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Выполните скрипт в AVZ:
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); ClearQuarantine; QuarantineFile('C:\Users\Миша\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe',''); DeleteFile('C:\Users\Миша\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe','32'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU',2,2,true); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Готово. по поводу quarantine.zip архив пустой
Пофиксите в HijackThis:
+Код:O2 - BHO: IEPlugin Class - {11222041-111B-46E3-BD29-EFB2449479B1} - C:\PROGRA~1\ArcSoft\VIDEOD~1\ARCURL~1.DLL (file missing) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (file missing) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll (file missing) O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (file missing) O2 - BHO: WebMoneyAdvisor BHO - {E7D2CB77-6E2D-4C1F-B485-D50506B9FA6B} - (no file) O2 - BHO: IEButton Class - {F81D52BF-F2F1-4F49-BF5F-05664E803039} - C:\Program Files\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (file missing) O3 - Toolbar: (no name) - !{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - (no file)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Готово.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: Startup: C:\Users\Миша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_12999815.lnk [2012-04-01] Startup: C:\Users\Миша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_20026971.lnk [2012-05-06] Startup: C:\Users\Миша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_25763769.lnk [2011-11-24] Startup: C:\Users\Миша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_35908643.lnk [2011-11-13] Startup: C:\Users\Миша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_67221683.lnk [2012-02-16] Startup: C:\Users\Миша\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_99792600.lnk [2012-02-01] SearchScopes: HKU\S-1-5-21-3809132605-3376110629-127682363-1000 -> {c99fdc39-a1ae-4b24-8d71-e5274f8d7c54} URL = hxxp://search.hotspotshield.com/g/results.php?c=s&q={searchTerms} SearchScopes: HKU\S-1-5-21-3809132605-3376110629-127682363-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B595CA906-C072-40E2-BD88-E779D89B55AA%7D&gp=mp4 Toolbar: HKLM - No Name - !{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - No File FF Homepage: hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.2&gp=mp4 FF Extension: Спутник @Mail.Ru - C:\Users\Миша\AppData\Roaming\Mozilla\Firefox\Profiles\nnm5zqrm.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2016-02-14] FF Extension: Домашняя страница Mail.Ru - C:\Users\Миша\AppData\Roaming\Mozilla\Firefox\Profiles\nnm5zqrm.default\Extensions\[email protected] [2016-01-27] FF Extension: Поиск@Mail.Ru - C:\Users\Миша\AppData\Roaming\Mozilla\Firefox\Profiles\nnm5zqrm.default\Extensions\[email protected] [2016-01-16] FF Extension: WebAlta - C:\Users\Миша\AppData\Roaming\Mozilla\Firefox\Profiles\nnm5zqrm.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD23}.xpi [2013-01-26] [not signed] CHR HomePage: Default -> mail.ru/cnt/11956636 CHR HKLM\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx S3 vncserver; C:\Users\Миша\Desktop\50Miner\vnc\vncservice.exe vncserver [X] S3 PBDOWNFORCE_SERVICE; \??\C:\Users\CA81~1\AppData\Local\Temp\PHQ950E.tmp [X] Task: {8C9F635D-DBB5-483E-8959-DB235B308E10} - no filepath Task: {AAA62DD2-02C7-4CF0-9424-512A0DA012EA} - no filepath Task: {FD5E58CC-2017-47B3-A302-F9082FE2F508} - no filepath AlternateDataStreams: C:\ProgramData\TEMP:05EE1EEF AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A AlternateDataStreams: C:\ProgramData\TEMP:60466E88 AlternateDataStreams: C:\ProgramData\TEMP:7D43E156 AlternateDataStreams: C:\ProgramData\TEMP:9740F45A AlternateDataStreams: C:\ProgramData\TEMP:A064CECC AlternateDataStreams: C:\ProgramData\TEMP:A1364FD1 AlternateDataStreams: C:\ProgramData\TEMP:A7D26093 CustomCLSID: HKU\S-1-5-21-3809132605-3376110629-127682363-1000_Classes\CLSID\{5A8FF410-F3CE-4844-B31B-F18D911239E8}\InprocServer32 -> C:\Users\Миша\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll => No File EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Визуально проблем не наблюдаю спасибо огромное.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) GetPost, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.