Здравствуйте. Столкнулся со следующей проблемой, с недавних пор при запуске ОС автоматически запускается браузер и переходит по адресу farmaster.net. Проверил автозагрузку, лишних элементов нет, антивирус тоже ничего не находит (dr.Web).
Printable View
Здравствуйте. Столкнулся со следующей проблемой, с недавних пор при запуске ОС автоматически запускается браузер и переходит по адресу farmaster.net. Проверил автозагрузку, лишних элементов нет, антивирус тоже ничего не находит (dr.Web).
Уважаемый(ая) [B]me4enyi[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте! [B]Обновите базы AVZ (Файл => Обновление баз)[/B]
Закройте все программы
Отключите
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Windows\Adobe Flash\Adobe.exe','');
QuarantineFile('C:\Users\Екатерина\AppData\Roaming\vacuajsb\vcbjdaac.exe','');
QuarantineFileF('C:\Users\Екатерина\AppData\Roaming\vacuajsb', '*', true, ' ', 0, 0);
DeleteFile('C:\Users\Екатерина\AppData\Roaming\vacuajsb\vcbjdaac.exe','32');
DeleteFile('C:\Windows\adobe flash\adobe.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Doctor Web');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe Flash Player SU');
DeleteFileMask('C:\Users\Екатерина\AppData\Roaming\vacuajsb', '*', true, ' ');
DeleteDirectory('C:\Users\Екатерина\AppData\Roaming\vacuajsb');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O4 - HKLM\..\Run: [Adobe Flash Player SU] C:\Windows\Adobe Flash\Adobe.exe
O4 - HKCU\..\Policies\Explorer\Run: [Doctor Web] C:\Users\Екатерина\AppData\Roaming\vacuajsb\vcbjdaac.exe
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Здравствуйте! Базы обновил, скрипты выполнил. В HiJackThis подобных строчек не нашел. Логи сделаны, карантин загружен:
Файл сохранён как 140224_091041_quarantine_530b0c919484c.zip
Размер файла 556731
MD5 0e8118d52feb861c3bd00a4492c9739f
Логи AVZ сделайте при помощи AVZ 4.43.
Теперь при запуске ОС браузер не открывается и не переходит на сайт "фармастера"
Лог сделанный версией 4.43
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O4 - HKCU\..\Policies\Explorer\Run: [Doctor Web] C:\Users\Екатерина\AppData\Roaming\vacuajsb\vcbjdaac.exe
[/CODE]
Сделайте новый лог HiJackThis
Здравствуйте! Подобного пункта не нашел, лог сделан
В 4 сообщении лог HiJackThis видимо старый прикрепили поэтому и не было этой записи.
Ваш провайдер?
[QUOTE]
IP: 82.200.209.201
Страна: Казахстан
Провайдер: JSC Kazakhtelecom
[/QUOTE]
Скачайте [url="http://malwarebytes.org/mbam-download-exe-random.php"]Malwarebytes' Anti-Malware[/url] или с [URL="http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe"]зеркала[/URL], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Здравствуйте!
[QUOTE]IP: 82.200.209.201
Страна: Казахстан
Провайдер: JSC Kazakhtelecom[/QUOTE]
Да, это мой провайдер.
Лог MBAM-а сделан, программа нашла 14 вредоносных объектов, сам я, ничего удалять не стал.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
[CODE]
Обнаруженные ключи в реестре: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\New22 1.06 (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные папки: 1
C:\Program Files (x86)\Compa2\New22 (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные файлы:
C:\$Recycle.Bin\S-1-5-21-860859274-2138545959-2931624337-1000\$RHI4V94.zip (Trojan.Agent) -> Действие не было предпринято.
c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Program Files (x86)\Compa2\New22\kiold.ll (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\Compa2\New22\kvsamolenei.vbs (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\Compa2\New22\Uninstall.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\Compa2\New22\Uninstall.ini (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\Compa2\New22\vaginariot.s (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\Compa2\New22\zbarhotbarba.vbs (Trojan.Agent) -> Действие не было предпринято.
[/CODE]
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Лог после удаления от 28.02.2014 и лог после перезагрузки и выходных) от 03.03.2014.
Что с проблемой?
О том, что проблема исчезла я написал в сообщении №6. Возможно не ясно выразился. Спасибо! :)
[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]
Выполнено.
[B]Исправьте и обновите:[/B]
Internet Explorer 9.0.8112.16421 Внимание! [URL="http://windows.microsoft.com/ru-RU/internet-explorer/products/ie/home"]Internet Explorer[/URL]
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Adobe Reader X (10.1.9) MUI v.10.1.9 [URL="http://get.adobe.com/reader/otherversions/"]Adobe Reader[/URL]
MBAM деинсталлируйте
[URL="http://virusinfo.info/showthread.php?t=121902"]Советы и рекомендации после лечения компьютера[/URL]
Ещё раз спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\adobe flash\adobe.exe - [B]Trojan-Clicker.Win32.VB.ipy[/B] ( DrWEB: Tool.Click.15, BitDefender: Trojan.Generic.9325529 )[/LIST][/LIST]