Здравствуйте. Помогите пожалуйста удалить surfvox.com с компа.
Printable View
Здравствуйте. Помогите пожалуйста удалить surfvox.com с компа.
Уважаемый(ая) [B]gus611[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Разобрался, файлы из АВЗ и HijackThis ниже.
Вот посмотрите пож.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Уважаемые модераторы, помогите решить проблему.
Здравствуйте !!!
[URL="http://virusinfo.info/showthread.php?t=130828"]отключите антивирусную программу [/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Пользователь\AppData\Local\TNT2\2.0.0.2030\TNT2User.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb.bat','');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb.bat','32');
DelBHO('{D5FEC983-01DB-414A-9456-AF95AC9ED7B5}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\Browsers', '*', true);
DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\Browsers');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]
После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Сколько антивирусов установлено на компьютере ?
когда загружаю quarantine.zip пишет: Результат загрузки
Ошибка загрузки. Данный файл уже был загружен.
Логи прикрепил, на компьютере было установлено два антивируса McAfee и avast free, сейчас McAfee удалил.
Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('ccnfd_1_10_0_4', 4);
SetServiceStart('BAPIDRV', 4);
QuarantineFile('C:\Users\Пользователь\AppData\Local\TNT2\2.0.0.2030\TNT2User.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\Пользователь\AppData\Roaming\taskmgr\taskmgr.exe','');
QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','');
QuarantineFile('C:\Windows\system32\drivers\ccnfd_1_10_0_4.sys','');
DeleteFile('C:\Windows\system32\drivers\ccnfd_1_10_0_4.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\taskmgr\taskmgr.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\TNT2\2.0.0.2030\TNT2User.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{6613AEFB-3A44-46A0-9C68-568058622A22}','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
DeleteService('BAPIDRV');
DeleteService('ccnfd_1_10_0_4');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
+
[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserslnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы в папке [b]Log[/b] будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]
+
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
вот
[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
сделал
Хорошо.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
прикрепил, посмотрите
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[CODE]
CreateRestorePoint:
Winlogon\Notify\PCANotify-x32: PCANotify.dll [X]
HKU\S-1-5-21-530096971-530599162-3472086857-1000\...\MountPoints2: E - E:\autorun.exe
HKU\S-1-5-21-530096971-530599162-3472086857-1000\...\MountPoints2: {79a7e65c-7f05-11e4-9122-bc5ff4fc3dbf} - E:\Autorun.exe
HKU\S-1-5-21-530096971-530599162-3472086857-1000\...\MountPoints2: {79a7e665-7f05-11e4-9122-bc5ff4fc3dbf} - G:\iStudio.exe
HKU\S-1-5-21-530096971-530599162-3472086857-1000\...\Winlogon: [Shell] C:\Users\Пользователь\AppData\Roaming\taskmgr\taskmgr.exe [153448448 2016-04-17] () <==== ATTENTION
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-530096971-530599162-3472086857-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.surfvox.com/
SearchScopes: HKU\S-1-5-21-530096971-530599162-3472086857-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&ieverfix=1&fr=ieverfix_dse
Toolbar: HKU\S-1-5-21-530096971-530599162-3472086857-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-530096971-530599162-3472086857-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll [No File]
FF Plugin: @esn/npbattlelog,version=2.7.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.0\npbattlelogx64.dll [No File]
FF Plugin-x32: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelog.dll [No File]
FF Plugin-x32: @esn/npbattlelog,version=2.7.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.0\npbattlelog.dll [No File]
CHR HomePage: Default -> hxxp://www.surfvox.com/
CHR StartupUrls: Default -> "hxxp://www.surfvox.com/"
CHR DefaultSearchKeyword: Default -> surfvox.com
OPR StartupUrls: "hxxp://www.surfvox.com/"
OPR Extension: (No Name) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\hiinilempllbgnaohllfdpnmeioogkng [2015-03-23]
OPR Extension: (No Name) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\nnablabjebldnjlelboobpjegkehklon [2015-03-23]
2016-04-17 20:56 - 2016-04-19 20:53 - 00000000 _RSHD C:\Users\Пользователь\AppData\Roaming\taskmgr
Task: {CCA68FF2-C02A-4972-B46A-56BF9E6F0E7B} - System32\Tasks\{0F7A0D47-0A08-7879-7A11-057A0B7A1105} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (the data entry has 9448 more characters). <==== ATTENTION
EmptyTemp:
Reboot:
[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
вот, посмотрите
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"][B]ScanVuln.txt[/B][/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Что с проблемой ?
Большое спасибо, проблема решена, обязательно поддержу Ваш проект.