Браузеры исполняют запросы со второго третьего раза [not-a-virus:NetTool.Win64.NetFilter.l, not-a-virus:NetTool.Win64.NetFilter.jd ]

Printable View

26.04.2016, 07:40
Aleksey Lopatin

Вложений: 3

Браузеры исполняют запросы со второго третьего раза [not-a-virus:NetTool.Win64.NetFilter.l, not-a-virus:NetTool.Win64.NetFilter.jd ]

Работа браузера нарушена неизвестными источниками. При попытке ввести запрос и отослать сначала выдает ошибка запрещенный ответ. Лечение помогло, но AVZ и SpyHunter4 выдают много заражений и уязвимостей! С такой системой работать нельзя
26.04.2016, 07:42
Info_bot

Уважаемый(ая) [B]Aleksey Lopatin[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
26.04.2016, 10:17
mrak74

Здравствуйте !!!

[URL="http://virusinfo.info/showthread.php?t=130828"]отключите антивирусную программу [/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL](в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Alexey\AppData\Roaming\HP Photo Creations\Communicator.exe','');
QuarantineFile('C:\Users\Alexey\AppData\Local\Hostinstaller\2148789925_monster.exe','');
QuarantineFile('C:\Program Files\contentprotector\nss\softokn3.dll','');
QuarantineFile('C:\Program Files\contentprotector\nss\smime3.dll','');
QuarantineFile('C:\Program Files\contentprotector\nss\plds4.dll','');
QuarantineFile('C:\Program Files\contentprotector\nss\plc4.dll','');
QuarantineFile('C:\Program Files\contentprotector\nss\nss3.dll','');
QuarantineFile('C:\Program Files\contentprotector\nss\nspr4.dll','');
QuarantineFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','');
QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe','');
QuarantineFile('C:\Program Files\contentprotector\nfregdrv.exe','');
QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe','');
QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','');
QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe','');
QuarantineFile('C:\Program Files\contentprotector\condefclean.exe','');
QuarantineFile('C:\TC_VIM\AkelFiles\Tools\SynSpy\SynSpy.exe','');
DeleteFile('C:\Program Files\contentprotector\condefclean.exe','32');
DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe','32');
DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','32');
DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe','32');
DeleteFile('C:\Program Files\contentprotector\nfregdrv.exe','32');
DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe','32');
DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','32');
DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll','32');
DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll','32');
DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll','32');
DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll','32');
DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll','32');
DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll','32');
DeleteFile('C:\Users\Alexey\AppData\Local\Hostinstaller\2148789925_monster.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer','64');
DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(4);
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
26.04.2016, 11:15
Aleksey Lopatin

Вложений: 2

файлs закачаны
26.04.2016, 11:24
mrak74

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven/10[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
26.04.2016, 12:01
Aleksey Lopatin

ADW cleaner не может закончить сканирование предлагая снять метки с нужных папок. Но все вкладки пусты! При принудительном нажатии клавиши LOG отчет выдает поврежденный формат архива. И сам отчет называется не (R0)? а (S1)
26.04.2016, 12:14
mrak74

[quote="Aleksey Lopatin;1378084"]ADW cleaner не может закончить сканирование предлагая снять метки с нужных папок.[/quote]
Для сохранения отчета, снятие меток с папок ... Впервые о таком слышу. Отчёт - это сведения о том что нашла программа, обычно с этим проблем не возникало. В логе S1 есть информация ?
26.04.2016, 12:28
Aleksey Lopatin

Вложений: 2

Пишет во время сканирования ожидание действия! Снимите все метки.........

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Соответственно сканирование останавливается. Программу перекачивал и антивирусы выключал, с правами алминистратора!
26.04.2016, 12:38
mrak74

У Вас 2 отчета:
[CODE]C:\AdwCleaner\AdwCleaner[C1].txt - [5565 байт] - [26/04/2016 11:41:28]
C:\AdwCleaner\AdwCleaner[S1].txt - [5877 байт] - [26/04/2016 11:34:07][/CODE]
S1 создан в 11:34:07 и содержит лог найденного
C1 создан в 11:41:28 в нем содержится информация о том что всё найденное в логе было Вами удалено.
________________________________________________________________________________________

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
26.04.2016, 12:50
Aleksey Lopatin

Вложений: 1

готово
26.04.2016, 13:42
mrak74

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

[CODE]CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-840708215-1358541695-1139260327-1002 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B4D4AF0E0-0C9B-485C-85CA-1EF46CD96365%7D&gp=820483
SearchScopes: HKU\S-1-5-21-840708215-1358541695-1139260327-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B4D4AF0E0-0C9B-485C-85CA-1EF46CD96365%7D&gp=820483
FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7B45DDD0D3-B82A-48DF-A603-D3485E6EEF36%7D&gp=820483
FF user.js: detected! => C:\Users\Alexey\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2016-04-26]
2016-04-05 16:52 - 2016-04-22 19:43 - 00000000 ____D C:\Users\Alexey\AppData\Local\ZetaGamesViewer
2016-04-05 16:52 - 2016-04-05 16:52 - 00000000 ____D C:\Users\Alexey\AppData\LocalLow\Unity
2016-04-05 16:52 - 2016-04-05 16:52 - 00000000 ____D C:\Users\Alexey\AppData\Local\Unity
2016-04-05 16:52 - 2016-04-05 16:52 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-04-05 16:53 - 2016-04-22 10:42 - 00000000 ____D C:\Users\Alexey\AppData\Roaming\ProductData
2016-04-05 16:52 - 2016-04-22 19:40 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-04-05 16:52 - 2016-04-22 19:40 - 00000000 ____D C:\ProgramData\ProductData
2016-04-05 16:52 - 2016-04-05 16:52 - 00000000 ____D C:\Users\Alexey\AppData\Local\CEF
2016-04-05 16:50 - 2016-04-26 10:49 - 00000000 ____D C:\Program Files\ContentProtector
2016-04-05 16:50 - 2016-04-05 16:50 - 00000000 ____D C:\Users\Alexey\AppData\Roaming\YSearcher
2016-04-05 16:50 - 2016-04-05 16:50 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ContentProtector
2016-04-05 16:49 - 2016-04-22 19:44 - 00000000 ____D C:\Users\Alexey\AppData\Local\ZetaGamesNews
Task: {15B594EC-EAAF-4F2A-B596-E2F33BCBFD4C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {1B0CC591-47DC-448C-8693-144D3BE371D7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {3A9EA6E7-555D-4A01-A9CF-2F9709ADD63A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {759D01BA-022C-4AD7-8AB6-58D5551C5B14} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {82C080E6-E714-4288-9F98-A07E5F8D07AA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {82F5476B-869D-47A8-A05E-B5DF460EB5BD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {B2969351-EE32-4624-BA6E-460F51B79A34} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {C57B688E-307E-4966-8862-99024A808A0A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {E0B3A352-46DF-4E6E-9ED8-F7C0ECB55233} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {F5168FF8-8CE1-4E86-B064-9E9E773F512F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {F9AC4EAA-6E02-4CC5-88B3-B64322D137AC} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
HKU\S-1-5-21-840708215-1358541695-1139260327-1002\Software\Classes\.exe: exefile => <===== ATTENTION
HKU\S-1-5-21-840708215-1358541695-1139260327-1002\Software\Classes\exefile: <===== ATTENTION
HKU\S-1-5-21-840708215-1358541695-1139260327-1002\...\StartupApproved\Run: => "ImageEd"
HKU\S-1-5-21-840708215-1358541695-1139260327-1002\...\StartupApproved\Run: => "SaveYouTime"
HKU\S-1-5-21-840708215-1358541695-1139260327-1002\...\StartupApproved\Run: => "ZetaGamesViewer"
HKU\S-1-5-21-840708215-1358541695-1139260327-1002\...\StartupApproved\Run: => "ZetaGamesNews"
FirewallRules: [{1D8EA383-CC0F-4BAE-83C3-5D091F81C43C}] => (Allow) C:\Torrentex\Torrentex.exe
FirewallRules: [{9C4E9D58-97F8-4DD4-9A74-F9B92FE5D4C3}] => (Allow) C:\Torrentex\Torrentex.exe
EmptyTemp:
Reboot:[/CODE][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
26.04.2016, 14:44
Aleksey Lopatin

Вложений: 1

фикслог
26.04.2016, 14:59
mrak74

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"][B]ScanVuln.txt[/B][/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Что с проблемой ?
26.04.2016, 15:07
Aleksey Lopatin

Спасибо! Все работает как надо! Уязвимости не обнаружены!
26.04.2016, 15:17
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\contentprotector\conprotsetup.exe - [B]not-a-virus:NetTool.Win64.NetFilter.l[/B] ( BitDefender: Gen:Variant.Zusy.187275 )[*] c:\users\alexey\appdata\local\hostinstaller\2148789925_monster.exe - [B]not-a-virus:HEUR:Downloader.Win32.AdLoad.gen[/B][/LIST][/LIST]