Printable View
Добрый день!
После скачивания и запуска следующего файла:
[удалено]
Получил рекламу в соц. сетях, полный пакет сервисов mail.RU и редиректы с некоторых страниц, на вредоносные сайты.
Скан через AVZ:
[url]http://virusinfo.info/virusdetector/report.php?md5=978411AB98D626422C10F9307C23D489[/url]
Также прикрепил скан от [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"][B]Farbar Recovery Scan Tool[/B][/URL]
Очень надеюсь на помощь!
Уважаемый(ая) [B]devastor[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Program Files (x86)\VK Downloader\IEEF\c9pPYtag0O.dll','');
QuarantineFile('C:\Users\Sergey\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Program Files (x86)\Microsoft Data\install_addons.exe','');
QuarantineFile('C:\Program Files (x86)\VK Downloader\kfCFztp.exe.exe','');
DeleteFile('C:\Users\Sergey\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\Sergey\AppData\Local\Amigo\Application\ok.exe','32');
DeleteFile('C:\Users\Sergey\AppData\Local\Amigo\Application\vk.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uqrzqxigrh');
DeleteFile('C:\Program Files (x86)\VK Downloader\kfCFztp.exe.exe','32');
DeleteFile('C:\WINDOWS\Tasks\Update Service for VK Downloader.job','64');
DeleteFile('C:\WINDOWS\Tasks\Update Service for VK Downloader2.job','64');
DeleteFile('C:\WINDOWS\system32\Tasks\chrome5','64');
DeleteFile('C:\WINDOWS\system32\Tasks\chrome5_logon','64');
DeleteFile('C:\Program Files (x86)\Microsoft Data\install_addons.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\nethost task','64');
DeleteFile('C:\Users\Sergey\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for VK Downloader','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for VK Downloader2','64');
DeleteFile('C:\Program Files (x86)\VK Downloader\IEEF\c9pPYtag0O.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] над первым сообщением темы.
[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B] + новые логи Farbar
AVZ подцепил к теме
Логи прикрепил к сообщению
Спасибо
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1767141466-1135812808-144660629-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1767141466-1135812808-144660629-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://ivasta.ru/?utm_source=startpage03&utm_content=a51f77c11181d67d9b50d058d52b7a47
SearchScopes: HKU\S-1-5-21-1767141466-1135812808-144660629-1001 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-1767141466-1135812808-144660629-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
BHO: VK Downloader -> {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} -> C:\Program Files (x86)\VK Downloader\IEEF\GCDkoZoGrt.dll [2015-04-13] ()
BHO-x32: VK Downloader -> {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} -> C:\Program Files (x86)\VK Downloader\IEEF\c9pPYtag0O.dll No File
FF SelectedSearchEngine: GoSearch
FF Extension: NetFilterPRO - C:\Users\Sergey\AppData\Roaming\Mozilla\Firefox\Profiles\vd6wqbf5.default\Extensions\[email protected] [2015-04-19]
FF Extension: VK Downloader - C:\Users\Sergey\AppData\Roaming\Mozilla\Firefox\Profiles\vd6wqbf5.default\Extensions\{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} [2015-04-19]
CHR Extension: (Поделиться ВКонтакте) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2015-04-19]
CHR Extension: (NetFilterPRO) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions\plmlpbcjkpppncefeoongifnpinjmegf [2015-04-20]
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKU\S-1-5-21-1767141466-1135812808-144660629-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
OPR Extension: (NetFilterPRO) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\plmlpbcjkpppncefeoongifnpinjmegf [2015-04-20]
2015-04-19 19:34 - 2015-04-19 19:34 - 00000000 ____D () C:\Users\Sergey\AppData\Roaming\VK Downloader
2015-04-19 19:24 - 2015-04-19 19:24 - 00000000 ____D () C:\Users\Sergey\AppData\Local\Вoйти в Интeрнет
2015-04-19 19:17 - 2015-04-19 23:15 - 00000464 __RSH () C:\ProgramData\ntuser.pol
2015-04-19 19:17 - 2015-04-19 19:17 - 00000000 ____D () C:\Users\Sergey\AppData\Local\Поиcк в Интeрнете
2015-04-19 19:16 - 2015-04-19 19:17 - 00000000 ____D () C:\Program Files (x86)\VK Downloader
2015-04-19 19:16 - 2015-04-19 19:16 - 00000042 _____ () C:\Users\Sergey\AppData\Roaming\9209784926A2
2015-04-19 19:16 - 2015-04-19 19:16 - 00000006 _____ () C:\Users\Sergey\AppData\Roaming\smw_inst
2015-04-19 19:16 - 2015-04-19 19:15 - 00000000 ____D () C:\Program Files (x86)\Microsoft Data
2015-04-19 19:14 - 2015-04-19 19:16 - 00000000 ____D () C:\Users\Sergey\AppData\Local\SystemDir
2015-04-17 20:57 - 2015-04-17 20:57 - 00000000 ____D () C:\Users\Sergey\AppData\Local\Apps\2.0
2015-04-06 22:24 - 2015-04-06 22:24 - 00000000 __SHD () C:\Users\Sergey\AppData\Local\EmieUserList
2015-04-06 22:24 - 2015-04-06 22:24 - 00000000 __SHD () C:\Users\Sergey\AppData\Local\EmieSiteList
2015-04-06 22:24 - 2015-04-06 22:24 - 00000000 __SHD () C:\Users\Sergey\AppData\Local\EmieBrowserModeList
C:\Users\Sergey\AppData\Local\Temp\0kEcItySUowm.exe
C:\Users\Sergey\AppData\Local\Temp\1Nbm87m91dyn.exe
C:\Users\Sergey\AppData\Local\Temp\8m7F6tSIbKmg.exe
C:\Users\Sergey\AppData\Local\Temp\9seZCxjniUaR.exe
C:\Users\Sergey\AppData\Local\Temp\Amz6UB0RtPw9.exe
C:\Users\Sergey\AppData\Local\Temp\AutoDetectUtilApp.exe
C:\Users\Sergey\AppData\Local\Temp\AVo5lWn8xU0O.exe
C:\Users\Sergey\AppData\Local\Temp\BytW9eddqxOg.exe
C:\Users\Sergey\AppData\Local\Temp\ClnMlzkjC9A2.exe
C:\Users\Sergey\AppData\Local\Temp\cymrFkOceN0K.exe
C:\Users\Sergey\AppData\Local\Temp\d2JOT6Rxzi9f.exe
C:\Users\Sergey\AppData\Local\Temp\DL7G9wQ7q1nj.exe
C:\Users\Sergey\AppData\Local\Temp\dP6Bua0ZmoYx.exe
C:\Users\Sergey\AppData\Local\Temp\Dsw4cc04VdWI.exe
C:\Users\Sergey\AppData\Local\Temp\ErUwdZWXUbzN.exe
C:\Users\Sergey\AppData\Local\Temp\HsLO6YcrITAw.exe
C:\Users\Sergey\AppData\Local\Temp\jGMreHPw0KJJ.exe
C:\Users\Sergey\AppData\Local\Temp\JlrWS30zplOK.exe
C:\Users\Sergey\AppData\Local\Temp\jW6DxMgfWqlN.exe
C:\Users\Sergey\AppData\Local\Temp\KNma7ig5lHYD.exe
C:\Users\Sergey\AppData\Local\Temp\LkV1zItdK97W.exe
C:\Users\Sergey\AppData\Local\Temp\lsuxpLPCZMa6.exe
C:\Users\Sergey\AppData\Local\Temp\LyrgCjiAYJh6.exe
C:\Users\Sergey\AppData\Local\Temp\mEL2snJNxjBy.exe
C:\Users\Sergey\AppData\Local\Temp\moU8hicaggVp.exe
C:\Users\Sergey\AppData\Local\Temp\Nhna0j6isTsG.exe
C:\Users\Sergey\AppData\Local\Temp\ose00000.exe
C:\Users\Sergey\AppData\Local\Temp\pmjhlgsDSqaI.exe
C:\Users\Sergey\AppData\Local\Temp\raptrpatch.exe
C:\Users\Sergey\AppData\Local\Temp\raptr_stub.exe
C:\Users\Sergey\AppData\Local\Temp\SewawyxR012U.exe
C:\Users\Sergey\AppData\Local\Temp\SfKFlubEKLtF.exe
C:\Users\Sergey\AppData\Local\Temp\uBVKIhNdURPa.exe
C:\Users\Sergey\AppData\Local\Temp\unBtMlx0N9E0.exe
C:\Users\Sergey\AppData\Local\Temp\uo2O7AYVua4w.exe
C:\Users\Sergey\AppData\Local\Temp\w1skc9FPIOpm.exe
C:\Users\Sergey\AppData\Local\Temp\WQKNc7kYk9lW.exe
C:\Users\Sergey\AppData\Local\Temp\xmlUpdater.exe
C:\Users\Sergey\AppData\Local\Temp\ypGrAfCKKFcf.exe
C:\Users\Sergey\AppData\Local\Temp\z420RyJFhUS1.exe
C:\Users\Sergey\AppData\Local\Temp\z8CFtrOrfc0z.exe
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Вирус пропал! Спасибо огромное!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]0[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]