-
Junior Member
- Вес репутации
- 32
Помогите нормализовать работу компьютера!! [not-a-virus:Downloader.MSIL.Agent.glq
]
Добрый день.
На компьютере стали происходить странные вещи:
- периодически меняется настройки браузера по умолчанию;
- периодически касперский пишет о сетевых атаках;
- появляются странные сообщения на экране.
При полной проверке компьютера при помощи касперского, было обнаружено активное заражение. Было произведено лечение с перезагрузкой компьютера. После выключения и повторного включения все повторяется снова.
Помогите вылечить комп.
За ранее Спасибо.
С уважением Андрей
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Андрей_Иваненко, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Логи переделать версией 4.46, предварительно обновив ее базы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 32
Добрый день.
Высылаю новые логи. Программы скачал с сайта только что и обновил базы.
Надеюсь сделал все правильно.
С уважением Андрей.
-
отключите антивирусную программу
Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Andrey\AppData\Roaming\FreeVPN\FreeVPN.exe','');
QuarantineFile('C:\ProgramData\UpService\UpService.exe','');
QuarantineFile('C:\Program Files (x86)\Clerack\rezagh.exe','');
DeleteFile('C:\ProgramData\UpService\UpService.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Apps\UpService','64');
DeleteFile('C:\Users\Andrey\AppData\Roaming\FreeVPN\FreeVPN.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 32
Добрый день.
Высылаю запрошенные логи.
С уважением Андрей.
-
- Подготовьте лог AdwCleaner и приложите его в теме.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 32
Сообщение от
mrak74
- Подготовьте лог
AdwCleaner и приложите его в теме.
Высылаю
С уважением Андрей
-
- Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 32
Добрый вечер.
Посколку названия файлов, которые записаны в логе, мне незнакомы то можно сделать вывод что я ими не пользуюсь.
Высылаю исправленный лог.
С уважением Андрей.
-
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 32
Высылаю запрошенный файл.
С уважением Андрей
-
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3094200642-2307593578-64882717-1000\...\Policies\Explorer: []
HKU\S-1-5-21-3094200642-2307593578-64882717-1000\...\Policies\Explorer: [FolderWSext] A139034B26A6A
HKU\S-1-5-21-3094200642-2307593578-64882717-1000\...\Policies\Explorer: [insWStime] 1430028635
HKU\S-1-5-21-3094200642-2307593578-64882717-1000\...\Policies\Explorer: [uniWSid] 1430028635323
HKU\S-1-5-21-3094200642-2307593578-64882717-1000\...\Policies\Explorer: [FolderWSinst] 7C4B5A0065B69917B5
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3094200642-2307593578-64882717-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BCA6FCECA-AE90-4F2E-84F5-782FA724D616%7D&gp=812258
CHR HomePage: Profile 6 -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Profile 6 -> "hxxp://mail.ru/cnt/7993/","hxxp://www.google.com.ua/","hxxp://www.google.com/ig/redirectdomain?brand=LENN&bmod=LENN","hxxp://www1.delta-search.com/?babsrc=HP_ss&mntrId=3C2B10BF48BAEB1C&affID=120665&tsp=4954","hxxp://www.google.com/"
CHR DefaultSearchURL: Profile 6 -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.11
CHR DefaultSearchKeyword: Profile 6 -> mail.ru
CHR DefaultSuggestURL: Profile 6 -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Profile: C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-10-18] <==== ATTENTION
CHR Extension: (EditThisCookie) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\fngmhnnpilhplaeedifhccceomclgfbg [2016-02-25]
CHR Extension: (Оповещения Jobisjob) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\plmlpbcjkpppncefeoongifnpinjmegf [2016-10-18]
CHR Extension: (Оповещения Jobisjob) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\plmlpbcjkpppncefeoongifnpinjmegf [2016-10-18]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-10-18]
CHR Extension: (Mail.Ru) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-10-18]
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (The Safe Surfing) - C:\Users\Andrey\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-12-22]
2016-10-05 20:16 - 2016-07-15 17:12 - 00000000 ____D C:\ProgramData\Microsoft\Task: {00E17E66-18ED-4FC5-A2B7-337590B7D737} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {1F2CE4B0-AF5F-4259-A1A8-A87FF76213D2} - \Microsoft\Windows\Setup\xtgt\refreshxtgtconfig -> No File <==== ATTENTION
Task: {4E791D62-10C2-40F3-B0BA-E086CDFB386D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {6A456A21-6280-4F8F-9FD6-DB44B4D52FB5} - \Microsoft\Windows\Apps\UpService -> No File <==== ATTENTION
Task: {6F3DF64A-D4F4-44E2-A011-E1F83EE07707} - \Microsoft\Windows\SystemRestore\FreeVPN -> No File <==== ATTENTION
Task: {84FF8669-4CF7-4A3F-8F83-A168010C9A97} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {95BF9E14-78B5-4853-AF6F-B12FD901B3FD} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {99E2E37D-A888-434B-AF71-CF0D8406B5FE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {A3257833-96F5-43E2-B2D3-2E41AA6A7A7B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {C08725E9-638F-4004-ADA5-BD0DA2D536F3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {C65B5247-7CB5-4EC2-8CCC-3536DC8BE8D5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {C7EBD90D-62CE-4017-B818-F24C3DEE216D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {CA5C846A-8FD8-4B67-99BB-7BD6FFB32BB5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {CE8B39D0-C926-4C77-A9F3-1B92FC5278FC} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {D1E107AA-3D6A-4D6C-AF9D-7542430BE9B5} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [163]
AlternateDataStreams: C:\ProgramData\TEMP:A2D2FD4A [290]
AlternateDataStreams: C:\ProgramData\TEMP:CAD522C4 [302]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 [163]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A2D2FD4A [290]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:CAD522C4 [302]
HKLM\...\StartupApproved\Run32: => "Timestasks"
HKLM\...\StartupApproved\Run32: => "ZaxarGameBrowser"
HKLM\...\StartupApproved\Run32: => "ZaxarLoader"
EmptyTemp:
Reboot:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 32
Высылаю архив после перезагрузки компьютера.
С уважением Андрей.
-
Что с изначальными проблемами на компьютере, решены или что-то осталось ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 32
Сообщение от
mrak74
Что с изначальными проблемами на компьютере, решены или что-то осталось ?
Добрый вечер.
Проверил работу после обработки Вашими скриптами.
Касперский пока не выдает сообщений о сетевых атаках. Похоже эту проблему победили.
Mail.ru выскакивает и пытается установить расширения в Google Chrome.
Сам хром по прежнему притормаживает.
Посторонние сообщения пока не появлялись.
С уважением Андрей.
-
Сделайте новые логи Farbar Recovery Scan Tool.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 32
Сообщение от
mrak74
Сделайте новые логи Farbar Recovery Scan Tool.
У меня не получается прикрепить файлы. Идет сообщение о переполнении.
Подскажите, как можно удалить старые вложения.
С уважением Андрей
-
Почистил вложения, попробуйте еще раз.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 32
Сообщение от
mrak74
Почистил вложения, попробуйте еще раз.
Высылаю.
С уважением Андрей