Suspicious cloud 7L

Printable View

06.02.2016, 18:39
alex_mil

Вложений: 3

Suspicious cloud 7L

Добрый день. Как сообщил нортон подцепил Suspicious cloud 7L. денек помучался и пытался разными программами его изжить, но не выходит (теперь целый букет стоит). пока просто блокируется его исходящий трафик и убраны некоторые скачанные программы (браузер комета, одноклассники и и еще что-то вроде как от мэйл.ру было). помогите пожалуйста избавиться.
06.02.2016, 18:40
Info_bot

Уважаемый(ая) [B]alex_mil[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
07.02.2016, 12:48
thyrex

Выполните скрипт в AVZ
[code]begin
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hsrxrsytqx');
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
07.02.2016, 14:20
alex_mil

Вложений: 3

[QUOTE=thyrex;1356527]Выполните скрипт в AVZ
[code]begin
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hsrxrsytqx');
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B][/QUOTE]
выполнил. новые логи. единственное, что нортону отключил все защиты. полностью выгрузить его не знаю как (не удаляя). процессы не снимаются. система 64 разрядная.
07.02.2016, 20:01
thyrex

Что с проблемой?
07.02.2016, 20:17
alex_mil

[QUOTE=thyrex;1356653]Что с проблемой?[/QUOTE]

осталась. при каждом открытии вкладки в браузере стучится куда-то.
Malwarebytes Anti-Malware
© Вредоносный веб-сайт заблокирован
Домен: 92vblljpl3fqub.ru
IP: 5.149.254.246
Порт: 2280
Тип: Outbound
Процесс: C:\Program Files (x86)\Go...me\Application\chrome.exe
домен, айпи и порт меняются. в принципе можно список сделать. вроде повторяются.

иногда просто окно браузера как-бы неактивное (не знаю как описать точно. наведение курсора на ссылки не работает). при нажатии левой кнопки мыши в любом месте окна браузера открывает новую вкладку. направляет вот сюда [url]https://xmr.weaningassassinated.com/Y7r4wLMm3jgvNj_nPwRrhvpwNVD9KR2yOjsbW5o/?d=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%3D[/url]
кроме того в вк появилась дополнительная реклама. как сбоку, накладывающаяся на официальную, так и в ленте новостей.
пришлось уже восстанавливать пароль к электронной почте.
нортон пауэр эрейзер ничего не видит.
07.02.2016, 21:05
thyrex

Отключите все установленные расширения для браузеров и проверьте проблему
07.02.2016, 21:06
alex_mil

[QUOTE=thyrex;1356674]Отключите все установленные расширения для браузеров и проверьте проблему[/QUOTE]

отключил. проблема осталась.
07.02.2016, 21:24
thyrex

Интернет через роутер?
07.02.2016, 21:40
alex_mil

[QUOTE=thyrex;1356680]Интернет через роутер?[/QUOTE]

нет. роутер не используется. через адсл-модем белтелекома
провел сканирование нодом онлайновым в итоге нашлось следующее
C:\Users\alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmmemlnpjmfkcddknibchodllhnnidlp\4.5.132_0\js\background.js JS/ExtenBro.Agent.BO trojan
C:\Users\alex\AppData\Local\Temp\MikUdTMv6NMc.exe a variant of Win32/RuKometa.H potentially unwanted application
C:\Users\alex\AppData\Local\Temp\xgmRYdQ2m57Q.exe a variant of Win32/RuKometa.H potentially unwanted application
C:\Windows\Setup\SCRIPTS\DATA\bin\KMSSS.exe a variant of Win32/HackKMS.W potentially unsafe application
C:\Windows\Setup\SCRIPTS\DATA\bin\pdk.dll a variant of Win32/PSWTool.ProductKey potentially unsafe application
C:\Windows\Setup\SCRIPTS\DATA\bin\TunMirror.exe MSIL/HackTool.TunMirror.A potentially unsafe application
нортон, KVRT, JRT, HitmanPro_x64 ничего не нашли при этом
08.02.2016, 19:44
thyrex

Сделайте [URL="http://virusinfo.info/showthread.php?t=146192"]лог Adwcleaner[/URL]
08.02.2016, 20:59
alex_mil

[QUOTE=thyrex;1356889]Сделайте [URL="http://virusinfo.info/showthread.php?t=146192"]лог Adwcleaner[/URL][/QUOTE]

он ничего не видит. в принципе после удаления всех файлов из папки темп (нод там как раз и нашел пару Win32/RuKometa.H) закончились попытки несанкционированного внешнего трафика и пропала дополнительная реклама из ленты вконтакте. остались только в разметке страницы места под нее, но внутри пусто. также осталась проблема с неактивной страницей браузера (использую хром), когда при нажатии в любом месте открывается новое окно. но это редкие случаи. сайт на который ссылается забыл скопировать (сделаю позже). страница сайта пустая. в принципе ошибки в разметке страниц в браузере не беспокоят, а вот возможность перехода по клику вызывает опаску. но поймать сложно. явление достаточно редкое. на ютубе тоже последние пару дней в произвольных местах рекламные ролики всплывали (часто при переключении развороте на весь экран или обратно). теперь просто черный экран без рекламы остался.
09.02.2016, 11:30
thyrex

Сделайте сброс настроек Хрома на дефолтные.

Очистите куки и кэш браузеров
09.02.2016, 22:24
alex_mil

[QUOTE=thyrex;1357030]Сделайте сброс настроек Хрома на дефолтные.

Очистите куки и кэш браузеров[/QUOTE]

с разметкой страницы проблема исчезла. за остальным понаблюдаю. спасибо за помощь