вот логи.
вот логи.
Уважаемый(ая) Ленарис, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
HiJackThis профиксить
AVZ выполнить следующий скрипт.Код:F2 - REG:system.ini: UserInit=wscript C:\Windows\run.vbs, O23 - Service: Type Proof (rowugoqo) - Unknown owner - C:\Users\Админ\AppData\Local\00000000-1456840079-0000-0000-001FD086FDDA\snst1B17.tmp O23 - Service: WdMan Service (WdMan) - TU-Funs LIMITED - C:\ProgramData\5WdM5\WdMan.exe
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\users\Админ\appdata\local\00000000-1456840079-0000-0000-001fd086fdda\snst1b17.tmp'); StopService('rowugoqo'); StopService('WdMan'); DeleteService('rowugoqo'); DeleteService('WdMan'); QuarantineFile('C:\Program Files\CleanBrowser\app\bin\libegl.dll',''); QuarantineFile('C:\Program Files\CleanBrowser\app\bin\libglesv2.dll',''); QuarantineFile('c:\program files\cleanbrowser\app\bin\nw.exe',''); QuarantineFile('C:\Program Files\VS Revo Group\Revo Uninstaller Pro\RevoUninPro.exe',''); QuarantineFile('C:\ProgramData\5WdM5\WdMan.exe',''); QuarantineFile('C:\ProgramData\service.exe',''); QuarantineFile('c:\users\Админ\appdata\local\00000000-1456840079-0000-0000-001fd086fdda\snst1b17.tmp',''); QuarantineFile('c:\windows\system32\betwinservicevs.exe',''); QuarantineFile('C:\Windows\system32\Drivers\contentprotectordrv.sys',''); QuarantineFile('C:\Windows\System32\Slsxxx.dll',''); DeleteFile('C:\ProgramData\5WdM5\WdMan.exe','32'); DeleteFile('C:\ProgramData\service.exe','32'); DeleteFile('C:\Users\Админ\AppData\Local\00000000-1456840079-0000-0000-001FD086FDDA\snst1B17.tmp','32'); DeleteFile('C:\Windows\system32\Drivers\contentprotectordrv.sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService','EventMessageFile'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
- Сделайте лог Check Browsers' LNK и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
готово, и карантин.zip тоже выслал.
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
готово, до 7:00 по мск бы успеть(
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
готово
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM\...\Run: [] => [X] HKU\S-1-5-21-3247583585-857957728-4074315813-1000\...\MountPoints2: E - E:\AutoRun.exe HKU\S-1-5-21-3247583585-857957728-4074315813-1000\...\MountPoints2: {d958bb8f-fc7b-11e5-9852-000e2e8ef49d} - E:\AutoRun.exe HKU\S-1-5-21-3247583585-857957728-4074315813-1000\...\MountPoints2: {fa4b6f75-015e-11e6-b444-000e2e8ef49d} - E:\AutoRun.exe HKU\S-1-5-21-3247583585-857957728-4074315813-1000\...\MountPoints2: {fb36cb19-fd71-11e5-b346-000e2e8ef49d} - E:\AutoRun.exe CHR HKU\S-1-5-21-3247583585-857957728-4074315813-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION Winsock: Catalog5 01 C:\Windows\system32\NLAapi.dll [52224 2010-11-21] (Microsoft Corporation) ATTENTION: LibraryPath should be "C:\Windows)\system32\NLAapi.dll" CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka Folder: C:\Program Files\gnivc Folder: C:\ProgramData\ProductData Folder: C:\Windows\msdownld.tmp 2015-07-08 16:27 - 2015-07-08 16:27 - 0000000 ____H () C:\ProgramData\DP45977C.lfl 2016-03-02 08:45 - 2015-11-25 20:31 - 1100288 _____ () C:\ProgramData\HomePage.exe 2016-03-02 08:44 - 2015-12-04 18:14 - 1081344 _____ () C:\ProgramData\LightGate.exe 2016-03-02 08:43 - 2016-03-07 12:28 - 0011633 _____ () C:\ProgramData\webad.xml File: C:\Program Files\UserGate\UserGate.exe C:\ProgramData\HomePage.exe C:\ProgramData\LightGate.exe C:\Users\Все пользователи\HomePage.exe C:\Users\Все пользователи\LightGate.exe CustomCLSID: HKU\S-1-5-21-3247583585-857957728-4074315813-1000_Classes\CLSID\{60940425-4085-4f11-ab34-b9dacd636f4b}\InprocServer32 -> c:\Temp\v8_499D_55.tmp => No File CustomCLSID: HKU\S-1-5-21-3247583585-857957728-4074315813-1000_Classes\CLSID\{680849bc-b86d-4669-9219-ad9ac13e4ddc}\InprocServer32 -> c:\Temp\v8_499D_55.tmp => No File CustomCLSID: HKU\S-1-5-21-3247583585-857957728-4074315813-1000_Classes\CLSID\{7b7c1f93-8199-4da7-88eb-e25a222c7a15}\InprocServer32 -> c:\Temp\v8_499D_55.tmp => No File CustomCLSID: HKU\S-1-5-21-3247583585-857957728-4074315813-1000_Classes\CLSID\{acad8a98-286a-420b-9fa3-02c0593917c9}\InprocServer32 -> c:\Temp\v8_499D_55.tmp => No File CustomCLSID: HKU\S-1-5-21-3247583585-857957728-4074315813-1000_Classes\CLSID\{c127373e-5025-4630-a5be-23c4d86ac559}\InprocServer32 -> c:\Temp\v8_499D_55.tmp => No File CMD: netsh winsock reset Hosts: EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
готово
Что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Вот что пишет гугл хром:
Ваше подключение не защищено
Злоумышленники могут пытаться похитить ваши данные с сайта www.yandex.ru (например, пароли, сообщения или номера банковских карт). NET::ERR_CERT_AUTHORITY_INVALID
- - - - -Добавлено - - - - -
Через рас не выключается и не перезагружается комп, кидает туда где выбор учетных записей и дальше не идет.
Предоставьте новые логи утилиты FRST.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
готово
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: File: C:\Windows\System32\rdpssw32.exe Winsock: Catalog5 01 C:\Windows\system32\NLAapi.dll [52224 2010-11-21] (Microsoft Corporation) ATTENTION: LibraryPath should be "C:\Windows)\system32\NLAapi.dll" CMD: netsh winsock reset EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Уточните если времено выключить антивирус, проблема с брайзером воспроизводиться?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Ага, отключил антивирус и все заработало прекрасно.
Скорее Вы добавили блокирующие правила, не оставляйте антивирус выключенным долгое время суток.
P.S. по настройке антивируса, обратитесь на официальный форум разработчика антивируса.
1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.
2. Запустите DelFix.
Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run.
5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)
6. Прикрепите этот отчет в вашей теме.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
готово
На этом всё!
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\contentprotectordrv.sy s - not-a-virus:NetTool.Win32.NetFilter.v
Уважаемый(ая) Ленарис, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.