Добрый день!
При открытии ссылок, браузер Опера сразу переадресовывает на yxo.warmportrait.com, go.spaceshipads.com и прочее.
Логи AVZ прикрепляю. Также сделал архив логов FRST.
Посмотрите. Комп сильно "тормозит".
Спасибо.
Добрый день!
При открытии ссылок, браузер Опера сразу переадресовывает на yxo.warmportrait.com, go.spaceshipads.com и прочее.
Логи AVZ прикрепляю. Также сделал архив логов FRST.
Посмотрите. Комп сильно "тормозит".
Спасибо.
Уважаемый(ая) Vitugan, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пофиксите в HijackThis (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Выполните скрипт в AVZ:Код:O2 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ O17 - HKLM\System\CCS\Services\Tcpip\..\{4FE24B28-D1FD-407C-B3EC-43FD3CE627EF}: NameServer = 199.203.131.145,82.163.143.167 O20 - AppInit_DLLs:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\drivers\ttrfd_vt_1_10_0_22.sys', ''); DeleteFile('C:\Windows\system32\drivers\ttrfd_vt_1_10_0_22.sys', '32'); DeleteService('ttrfd_vt_1_10_0_22'); ExecuteFile('schtasks.exe', '/delete /TN "Optimizer Pro Schedule" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "TermTrident Auto Updater 1.10.0.22 Core" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "TermTrident Auto Updater 1.10.0.22 Pending Update" /F', 0, 15000, true); ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('ttrfd_vt_1_10_0_22'); ExecuteRepair(4); ExecuteRepair(3); ExecuteWizard('TSW', 3, 3, true); BC_Activate; RebootWindows(true); end.
Если пропадёт интернет, пропишите нужные настройки DNS в сетевом соединении.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новые логи FRST.
WBR,
Vadim
Логи сделал, карантин отправил.
Проблема осталась. Переходит на http://ru.reimageplus.com и http://www.adnetworkperformance.com
Последний раз редактировалось Vitugan; 24.02.2016 в 18:00.
Удалите программы:
Browser Configuration Utility
Optimizer Pro v3.2
priceChop
DNS Unlocker version 1.3
Supreme AdBlocker
TermTrident 1.10.0.22
Включите восстановление системы: Свойства компьютера -> Защита системы.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: HKLM\...\Run: [] => [X] GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION Tcpip\..\Interfaces\{4FE24B28-D1FD-407C-B3EC-43FD3CE627EF}: [NameServer] 199.203.131.145,82.163.143.167 SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.wonderfulsearches.info/?l=1&q={searchTerms}&pid=714&r=2014/08/11&hid=1460820069423604516&lg=EN&cc=UA&unqvl=60 SearchScopes: HKU\S-1-5-21-4002230598-485868936-2351724070-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.wonderfulsearches.info/?l=1&q={searchTerms}&pid=714&r=2014/08/11&hid=1460820069423604516&lg=EN&cc=UA&unqvl=60 BHO: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File FF Extension: COupEXteNsion - C:\Users\Belokoz\AppData\Roaming\Mozilla\Firefox\Profiles\c4fkfmjp.default\Extensions\[email protected] [2015-07-20] [not signed] FF Extension: ExstrACouupoN - C:\Users\Belokoz\AppData\Roaming\Mozilla\Firefox\Profiles\c4fkfmjp.default\Extensions\[email protected] [2015-07-20] [not signed] FF Extension: FindBBestDeaL - C:\Users\Belokoz\AppData\Roaming\Mozilla\Firefox\Profiles\c4fkfmjp.default\Extensions\[email protected] [2015-10-29] [not signed] FF Extension: ExstraSaveings - C:\Users\Belokoz\AppData\Roaming\Mozilla\Firefox\Profiles\c4fkfmjp.default\Extensions\[email protected] [2015-10-29] [not signed] FF Extension: FFun22Save - C:\Users\Belokoz\AppData\Roaming\Mozilla\Firefox\Profiles\c4fkfmjp.default\Extensions\[email protected] [2015-10-29] [not signed] CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=profitraf3","hxxp://websearch.wonderfulsearches.info/?pid=714&r=2014/08/11&hid=1460820069423604516&lg=EN&cc=UA&unqvl=60" CHR Extension: (Документы Google) - C:\Users\Belokoz\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-08-07] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION CHR Extension: (Диск Google) - C:\Users\Belokoz\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-02-25] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION CHR Extension: (Better Tasks) - C:\Users\Belokoz\AppData\Local\Google\Chrome\User Data\Default\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-08-13] [UpdateUrl: hxxps://mynamedomain.koko//0service/update2/crx] <==== ATTENTION CHR Extension: (TickTick Todo Task List) - C:\Users\Belokoz\AppData\Local\Google\Chrome\User Data\Default\Extensions\diankknpkndanachmlckaikddgcehkod [2015-08-05] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION CHR Extension: (eShield) - C:\Users\Belokoz\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp [2015-07-15] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION CHR Extension: (Mail.Ru) - C:\Users\Belokoz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2015-07-30] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION CHR Extension: (The Great Suspender) - C:\Users\Belokoz\AppData\Local\Google\Chrome\User Data\Default\Extensions\klbibkeccnjlkjkiokjodocebajanakg [2015-08-07] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION CHR Extension: (Awesome Widget ANTP) - C:\Users\Belokoz\AppData\Local\Google\Chrome\User Data\Default\Extensions\klpmobilbpcccgegofocnlfmallakegc [2015-07-17] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION CHR Extension: (Google Кошелек) - C:\Users\Belokoz\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-04-18] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Belokoz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2015-07-30] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Belokoz\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnooffjhclkocplopffdbcdghmiffhji [2015-07-30] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url> CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url> CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (Adblock Plus) - C:\Users\Belokoz\AppData\Roaming\Opera Software\Opera Stable\Extensions\oidhhegpmlfpoeialbgcdocjalghfpkp [2016-02-09] S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] CMD: ipconfig /flushdns EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Добрый день!
Не удалились:
DNS Unlocker version 1.3
Supreme AdBlocker
Лог прикрепляю. Проблема устранилась. Спасибо.
Последний раз редактировалось Vitugan; 25.02.2016 в 12:34.
Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите Java 8 Update 73.
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Vitugan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.