Недавно заметил, что браузер сам открывает всякие рекламные вкладки с разным промежутком.
Логи приведены ниже
Недавно заметил, что браузер сам открывает всякие рекламные вкладки с разным промежутком.
Логи приведены ниже
Уважаемый(ая) MyLittleFurer, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Что из этого Вам знакомо?
HiJackThis профикситьКод:c:\temp\system32\service.exe c:\Temp\System32\start.vbs
AVZ выполнить следующий скрипт.Код:O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); TerminateProcessByName('c:\temp\system32\service.exe'); StopService('ServiceUpdate'); QuarantineFile('c:\temp\system32\service.exe', ''); QuarantineFile('c:\Temp\System32\start.vbs', ''); QuarantineFileF('c:\temp\system32', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0); QuarantineFile('C:\Users\User\AppData\Local\Temp\Rar$EXa0.129\X7 Oscar Mouse Editor\OscarEditor.exe', ''); QuarantineFile('C:\Windows\Fonts\Activation.exe', ''); QuarantineFile('C:\Windows\Fonts\antiblock2.dll', ''); DeleteFile('C:\Windows\Fonts\Activation.exe', '32'); DeleteFile('C:\Windows\Fonts\antiblock2.dll', '32'); RegKeyStrParamWrite('HKCU', 'Control Panel\Desktop', 'WaitToKillAppTimeout', '20000'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(10); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Не помогло, проблема осталась.
Вот лог с adw. Файл quarantine.zip приложил
Ранее так и не ответили.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); QuarantineFile('c:\temp\system32\system.url', ''); BC_ImportQuarantineList; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
c:\temp\system32\service.exe
c:\Temp\System32\start.vbs
Первый раз вижу подобные файлы
Собственно, проблема все еще есть.
Заметил, что подобный "нюанс" есть только у мозилы, в то время, как хром, например, спокойно работает, без навязчивой рекламы.
Файл quarantine.zip прикрепил.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); TerminateProcessByName('c:\temp\system32\service.exe'); StopService('ServiceUpdate'); DeleteService('ServiceUpdate'); QuarantineFile('c:\temp\system32\service.exe', ''); QuarantineFile('c:\Temp\System32\start.vbs', ''); QuarantineFileF('c:\Temp\System32', '*', false,'', 0, 0); DeleteFileMask('c:\Temp\System32', '*', true, ' '); DeleteDirectory('c:\Temp\System32'); DeleteFile('C:\Windows\system32\Tasks\System_service','64'); DeleteFile('C:\Windows\system32\Tasks\System_update','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Проблема решилась, за что вам ОГРОМНОЕ спасибо!
Стоило раньше обратить внимание на вопрос про эти два файла, а то из-за этого ваше время потратил(
Лог с adw
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Логи с FARBAR`а
Сами ставили?
Код:CHR Extension: (Advanced SystemCare Surfing Protection) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\nfengeggddojhakldhlpjdlddgkkjkdd [2016-07-03]
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-3285291100-1808009380-582992357-1000\...\Run: [OscarXG] => "C:\Users\User\AppData\Local\Temp\Rar$EXa0.129\X7 Oscar Mouse Editor\OscarEditor.exe" Minimum <===== ATTENTION GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION URLSearchHook: [S-1-5-21-3285291100-1808009380-582992357-1000] ATTENTION => Default URLSearchHook is missing SearchScopes: HKLM-x32 -> DefaultScope value is missing FF Extension: No Name - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\dbm7rpyy.default-1467477017682\extensions\[email protected] [not found] FF Extension: No Name - C:\Program Files (x86)\IObit Apps Toolbar\FF [not found] CHR Plugin: (Native Client) - C:\Users\User\AppData\Local\Google\Chrome\Application\51.0.2704.103\ppGoogleNaClPluginChrome.dll => No File CHR Plugin: (Chrome PDF Viewer) - C:\Users\User\AppData\Local\Google\Chrome\Application\51.0.2704.103\pdf.dll => No File CHR Plugin: (Java(TM) Platform SE 7 U25) - C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll => No File CHR Plugin: (NVIDIA 3D Vision) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll => No File CHR Plugin: (NVIDIA 3D VISION) - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll => No File CHR Plugin: (Google Update) - C:\Users\User\AppData\Local\Google\Update\1.3.21.149\npGoogleUpdate3.dll => No File CHR Plugin: (Java Deployment Toolkit 7.0.250.17) - C:\Windows\SysWOW64\npDeployJava1.dll => No File CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrl.dll => No File CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx StartMenuInternet: Google Chrome.MF5WBS3K3DGJ7KWPKKUJVXKXT4 - C:\Users\User\AppData\Local\Google\Chrome\Application\chrome.exe hxxp://www.istartsurf.com/?type=sc&ts=1442699189&z=35cf4d7577ca119768a24d8g3z6zdo5q1tdt8eco5w&from=cor&uid=ST3500418AS_9VML0792XXXX9VML0792 StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe hxxp://www.istartsurf.com/?type=sc&ts=1442699189&z=35cf4d7577ca119768a24d8g3z6zdo5q1tdt8eco5w&from=cor&uid=ST3500418AS_9VML0792XXXX9VML0792 Folder: C:\ProgramData\RenewalService CustomCLSID: HKU\S-1-5-21-3285291100-1808009380-582992357-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3285291100-1808009380-582992357-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3285291100-1808009380-582992357-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3285291100-1808009380-582992357-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3285291100-1808009380-582992357-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3285291100-1808009380-582992357-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3285291100-1808009380-582992357-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3285291100-1808009380-582992357-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3285291100-1808009380-582992357-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3285291100-1808009380-582992357-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3285291100-1808009380-582992357-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-3285291100-1808009380-582992357-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File Task: {0A13294C-63D2-4F56-A73E-5A2830876CD4} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION Task: {36990E96-5595-4A10-BFAA-AC18F2FE1339} - \System_service -> No File <==== ATTENTION Task: {A7E46630-5AE3-4C37-B9F5-3300EB3BC59F} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION Task: {C2125EAC-960F-4D7F-9845-BA0132F30CA5} - \System_update -> No File <==== ATTENTION Task: {CCE7D8E7-4823-43B3-9A08-D6AE1529EFC8} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION Task: {EAF015F7-F64F-4691-BE21-54EC9208AEC0} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\.rdata:X [526] AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0] AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [140] AlternateDataStreams: C:\ProgramData\TEMP:D1B5B4F1 [316] AlternateDataStreams: C:\Users\User\Local Settings:wa [178] AlternateDataStreams: C:\Users\User\AppData\Local:wa [178] AlternateDataStreams: C:\Users\User\AppData\Local\Application Data:wa [178] AlternateDataStreams: C:\Users\Все пользователи\.rdata:X [526] AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0] AlternateDataStreams: C:\Users\Все пользователи\TEMP:55B41E6A [140] AlternateDataStreams: C:\Users\Все пользователи\TEMP:D1B5B4F1 [316] EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Тысяча извинений за свое отвратное поведение и запоздалый ответ.
Нет, создал не я
Лог приложил
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: C:\ProgramData\RenewalService EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Лог с FRST
Сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Решена, спасибо!
1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.
2. Запустите DelFix.
Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run.
5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)
6. Прикрепите этот отчет в вашей теме.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Если у Вас ОС лицензионная, то проверьте целостность системных файлов.C:\Windows\system32\User32.dll
[2010-11-21 06:24] - [2010-11-21 06:24] - 1008640 ____A (Microsoft Corporation) E573BD9AB55C8E333C202B9E255F972E
C:\Windows\SysWOW64\User32.dll
[2010-11-21 06:24] - [2010-11-21 06:24] - 0833024 ____N (Microsoft Corporation) 2C9CC9F492CA596B1B9FC1AE5E916356
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Лог с DelFIx
Уважаемый(ая) MyLittleFurer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.