При попытке открыть какую-либо страницу вылезает всплывающее окно, комп не виден из сети
Printable View
При попытке открыть какую-либо страницу вылезает всплывающее окно, комп не виден из сети
Уважаемый(ая) [B]Ivanov78[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\hfpapi.dll','');
QuarantineFile('C:\Windows\syswow64\hfpapi.dll','');
QuarantineFile('C:\Users\Татьяна\appdata\roaming\newsi_2\s_inst.exe','');
DeleteService('netwizardx86.exe');
DeleteService('ocrdimsjobGUI.exe');
DeleteService('rawehtraceUI.exe');
QuarantineFile('C:\Users\Татьяна\AppData\Local\rawehtraceUI\rawehtraceUI.exe','');
QuarantineFile('C:\Users\Татьяна\AppData\Local\ocrdimsjobGUI\ocrdimsjobGUI.exe','');
QuarantineFile('C:\Users\Татьяна\AppData\Local\netwizardx86\netwizardx86.exe','');
SetServiceStart('wauctla Service', 4);
DeleteService('wauctla Service');
SetServiceStart('Task Manager Pro', 4);
DeleteService('Task Manager Pro');
SetServiceStart('ReimageRealTimeProtector', 4);
DeleteService('ReimageRealTimeProtector');
QuarantineFile('C:\Windows\SysWOW64\privacykernelceipBckp\privacykernelceipBckp.exe','');
SetServiceStart('privacykernelceipBckp', 4);
DeleteService('privacykernelceipBckp');
SetServiceStart('pappService', 4);
DeleteService('pappService');
SetServiceStart('ocrscreenshotGUI.exe', 4);
DeleteService('ocrscreenshotGUI.exe');
SetServiceStart('APIRecycleSoftware', 4);
DeleteService('APIRecycleSoftware');
QuarantineFile('C:\Users\Татьяна\AppData\Local\ocrscreenshotGUI\qjson0.dll','');
TerminateProcessByName('C:\Windows\wauctla.exe');
QuarantineFile('C:\Windows\wauctla.exe','');
TerminateProcessByName('C:\Windows\taskmgr.exe');
QuarantineFile('C:\Windows\taskmgr.exe','');
TerminateProcessByName('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe');
QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe','');
TerminateProcessByName('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe');
QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
TerminateProcessByName('c:\windows\syswow64\privacykernelceipbckp\privacykernelceipbckp.exe');
QuarantineFile('c:\windows\syswow64\privacykernelceipbckp\privacykernelceipbckp.exe','');
TerminateProcessByName('c:\users\Татьяна\appdata\local\ocrscreenshotgui\ocrscreenshotgui.exe');
QuarantineFile('c:\users\Татьяна\appdata\local\ocrscreenshotgui\ocrscreenshotgui.exe','');
TerminateProcessByName('c:\users\Татьяна\appdata\local\ocrscreenshotgui\gnulogdrv.exe');
QuarantineFile('c:\users\Татьяна\appdata\local\ocrscreenshotgui\gnulogdrv.exe','');
TerminateProcessByName('c:\program files (x86)\edealpop\edealpop.exe');
QuarantineFile('c:\program files (x86)\edealpop\edealpop.exe','');
TerminateProcessByName('c:\program files (x86)\popapp\ccaschannel_64.exe');
QuarantineFile('c:\program files (x86)\popapp\ccaschannel_64.exe','');
TerminateProcessByName('c:\windows\syswow64\apirecyclesoftware\apirecyclesoftware.exe');
QuarantineFile('c:\windows\syswow64\apirecyclesoftware\apirecyclesoftware.exe','');
DeleteFile('c:\windows\syswow64\apirecyclesoftware\apirecyclesoftware.exe','32');
DeleteFile('c:\program files (x86)\popapp\ccaschannel_64.exe','32');
DeleteFile('c:\program files (x86)\edealpop\edealpop.exe','32');
DeleteFile('c:\users\Татьяна\appdata\local\ocrscreenshotgui\gnulogdrv.exe','32');
DeleteFile('c:\users\Татьяна\appdata\local\ocrscreenshotgui\ocrscreenshotgui.exe','32');
DeleteFile('c:\windows\syswow64\privacykernelceipbckp\privacykernelceipbckp.exe','32');
DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe','32');
DeleteFile('C:\Windows\taskmgr.exe','32');
DeleteFile('C:\Windows\wauctla.exe','32');
DeleteFile('C:\Users\Татьяна\AppData\Local\ocrscreenshotGUI\qjson0.dll','32');
DeleteFile('C:\Windows\SysWOW64\privacykernelceipBckp\privacykernelceipBckp.exe','32');
DeleteFile('C:\Users\Татьяна\AppData\Local\netwizardx86\netwizardx86.exe','32');
DeleteFile('C:\Users\Татьяна\AppData\Local\ocrdimsjobGUI\ocrdimsjobGUI.exe','32');
DeleteFile('C:\Users\Татьяна\AppData\Local\rawehtraceUI\rawehtraceUI.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eDealPop');
DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','64');
DeleteFile('C:\Windows\system32\Tasks\Reimage Reminder','64');
DeleteFile('C:\Users\Татьяна\appdata\roaming\newsi_2\s_inst.exe','32');
DeleteFile('C:\Windows\syswow64\hfpapi.dll','32');
DeleteFile('C:\Windows\system32\hfpapi.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:11531[/CODE]
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.
[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
Логи
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Логи
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
этот лог правильный
[quote="Ivanov78;1320734"]этот лог правильный[/quote]Какой из двух?
который 26.0 Кб
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
Логи, к сожалению не уследил, windows обновился до версии 10
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-722776120-777527081-1476780732-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
SearchScopes: HKU\S-1-5-21-722776120-777527081-1476780732-1000 -> {E90276AE-9D18-4936-BA19-78A6C2CF879B} URL = hxxp://nova.rambler.ru/search?query={searchTerms}&utm_source=r02&utm_medium=distribution&utm_content=e09&utm_campaign=a28
SearchScopes: HKU\S-1-5-21-722776120-777527081-1476780732-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
Toolbar: HKU\S-1-5-21-722776120-777527081-1476780732-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
FF Homepage: hxxp://go.mail.ru/?homepage=1
FF Keyword.URL: hxxp://go.mail.ru/search?fr=fftb&q=
FF Extension: Info Enhancer for Firefox - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\ikww2xt2.default\Extensions\[email protected] [2013-11-20]
CHR Extension: (Info Enhancer for Chrome) - C:\Users\Татьяна\AppData\Local\Google\Chrome\User Data\Default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil [2013-11-20]
Task: {0196B633-068C-4F50-9819-516CC5FD53DB} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {022D1C14-B80D-4811-B597-666279DD4771} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {22AA7020-F206-4D6E-841D-E70F821867B8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {2636C495-48A1-4E58-8D01-99F325356938} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {299ED861-520E-4455-A414-BC9C0FB24AC2} - \Reimage Reminder -> No File <==== ATTENTION
Task: {38D53677-0CE3-4AAD-A3C5-FBE6D6BC9277} - \Microsoft\Windows\File Classification Infrastructure\Property Definition Sync -> No File <==== ATTENTION
Task: {3EF951CD-3585-44C6-99E8-403C966F2ECF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {412761EE-36B1-4461-BA08-D683C5F2BA59} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {44D002A6-30C7-4430-B881-68307C4FF547} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {74F629D9-542E-4B06-8ACF-6ACBAF62185F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {9B438DB1-C068-453C-A394-A0B6C3415F7B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {CFEA1BBA-E2F0-4B0A-BEA8-A8F63218953C} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {E4E6EF07-47EB-407F-888D-FB4FA3B9E911} - \ReimageUpdater -> No File <==== ATTENTION
Task: {F1A54AEC-1D59-448C-8B22-655FF9B6711E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {F4709D00-8EB2-4CBA-A6EA-826C75DF55C9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
EmptyTemp:[/CODE][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Лог
Что с проблемами ?
Спасибо! Проблемы нет.
[URL="http://virusinfo.info/showthread.php?t=121902"][B]Советы и рекомендации после лечения компьютера[/B][/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\татьяна\appdata\roaming\newsi_2\s_inst.exe - [B]not-a-virus:AdWare.Win32.Agent.iftz[/B] ( DrWEB: Trojan.FakeAlert.48241 )[*] c:\windows\system32\hfpapi.dll - [B]not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur[/B] ( DrWEB: Tool.NetFilter.2, BitDefender: Gen:Variant.Adware.Netfilter.2, AVAST4: Win32:GenMaliciousA-FPL [Adw] )[*] c:\windows\syswow64\hfpapi.dll - [B]not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur[/B] ( DrWEB: Tool.NetFilter.2, BitDefender: Gen:Variant.Adware.Netfilter.2, AVAST4: Win32:GenMaliciousA-FPL [Adw] )[*] c:\windows\syswow64\privacykernelceipbckp\privacykernelceipbckp.exe - [B]not-a-virus:AdWare.Win32.Agent.ilkl[/B] ( DrWEB: Adware.Pirrit.20, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\windows\wauctla.exe - [B]not-a-virus:RiskTool.Win32.Agent.xxr[/B] ( DrWEB: Adware.Downware.10122, AVAST4: Win32:Adware-gen [Adw] )[/LIST][/LIST]