-
Junior Member
- Вес репутации
- 33
Вирус от mail.ru и не только
В целом ощущение, что комп работает еще на кого-то, не только на меня...
Плюс к этому:
14.06 загрузил эмулятор Андроида для ПК - Blue Stacks
Кроме Инстаграмм он ничего не хотел делать, я снес его.
(Может, позже это тоже будет иметь значение).
17.06 загрузил пакет шаблонов, при его распаковке полезла куча от mail.ru
Пакет сразу удалил. Все что нашел от мейл ру - тоже. Но при удалении амиго он снес мне хром, который стоял по умолчанию до него.
Далее.
При перезагрузке ПК восстанавливается апдейтер от мейл ру и автоматически открывается браузер (восстановленный хром) на странице, которую НОД квалифицирует, как потенциально опасную.
В списке процессов также увидел апдейтер от Blue Stacks (который на этот момент удален)...
При сканировании НОД нашел 3 вируса - и все повторяется.
Начал готовиться к этой заявке:
Сканирование НОДом - чисто
Сканирование DrWeb (забыл поставить фоновый режим) - 5 удаленных вирусов.
В фоновом режиме - чисто.
Сканирование AVZ и HijackThis сделано. Каждый раз при перезагрузке ПК автоматом открывается хром на той самой странице с "потенциально небезопасным". И запускаются процессы по мейл ру и по Blue Stacks.
Все сканы и выписки из журналов, что удалялось, есть. Если нужно, - пришлю.
Заранее благодарю за помощь.
Последний раз редактировалось sothis; 18.06.2016 в 22:21.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) sothis, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','neppbhcpsr');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MailRuUpdater');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DTS');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 33
Благодарю. Новые результаты - в приложении.
На глаз изменения:
- автозагрузка браузера уже не работает при включении ПК
- страница с потенциально опасным содержимым не появляется
- в запущенных процессах апдейтер Мейлру есть.
Жду дальнейших указаний.
-
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
-
-
Junior Member
- Вес репутации
- 33
Прекрасно.
апдейтер отловлен и уничтожен. Повторное сканирование его не обнаружило.
Благодарю.
С удовольствием перевел денежку вашему сервису.
если это завершение работы, то благодарю еще раз и желаю успехов!
Всего доброго.
-
- Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
- Запустите DelFix
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
- Нажмите на кнопку Run
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Советы и рекомендации после лечения компьютера
-
-
Junior Member
- Вес репутации
- 33
-
Junior Member
- Вес репутации
- 33
Здравствуйте. На почту пришла куча сообщений о том, что НОД прикрыл вирусные рассылки. Вот скрин: https://yadi.sk/i/DcX1u_tzu322j
Я пока не удалил их - если это представляет для Вас какой-то интерес, прошу сообщить, и что делать дальше.
Если нет, то просто удалю.
-
Возможно рассылка очередного шифровальщика. Можете копию письма на почту мне отправить. Почта есть в профиле.
-
-
Junior Member
- Вес репутации
- 33