В chrome добавились расширения mail.ru и yandex, стало появляться много рекламы
Printable View
В chrome добавились расширения mail.ru и yandex, стало появляться много рекламы
Уважаемый(ая) [B]Theodore[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте !!!
[URL="http://virusinfo.info/showthread.php?t=130828"]отключите антивирусную программу [/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL](в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('C:\Program Files\My Web Shield\mweshieldup.exe');
StopService('mwescontroller');
StopService('mweshieldup');
StopService('mweshield');
QuarantineFile('C:\windows\system32\drivers\mwescontroller.sys','');
QuarantineFile('C:\Program Files (x86)\Ticno\Indexator\SearchService.exe','');
QuarantineFile('C:\Program Files\My Web Shield\mweshield.exe','');
QuarantineFile('C:\Program Files\My Web Shield\mweshieldup.exe','');
DeleteFile('C:\Program Files (x86)\Ticno\Indexator\SearchService.exe','32');
DeleteFile('C:\windows\system32\drivers\mwescontroller.sys','32');
DeleteFile('C:\windows\system32\Tasks\{64F77AF0-977C-4A21-B2CD-B385BA1E0EC6}','64');
DeleteFile('C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe','32');
DeleteFile('C:\Program Files\my web shield\mweshield.exe','32');
DeleteFile('C:\Program Files\my web shield\mweshieldup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GameCenterMailRu','command');
DeleteService('mwescontroller');
DeleteService('TicnoIndexator');
DeleteService('mweshieldup');
DeleteService('mweshield');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url]. Для [u]повторной[/u] диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
+
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/finish/1/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven/10[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Отчет
- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
+
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Готово
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {1ad2adef-1ff6-11e1-a88e-f46d042b2b4f} - F:\Autorun.exe
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {53a7262b-264a-11e1-8864-f46d042b2b4f} - E:\AutoRun.exe
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {5d965ce2-24bc-11e1-9ac6-001e101f1f81} - F:\autorun.exe
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {8572ee49-02c5-11e1-8b1d-001e101fb681} - G:\AutoRun.exe
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {c8f5aa5d-deb6-11e0-8fe3-f46d042b2b4f} - F:\AutoRun.exe
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {c8f5aa69-deb6-11e0-8fe3-f46d042b2b4f} - E:\AutoRun.exe
HKU\S-1-5-21-3387874277-2504550756-3322508961-1004\...\MountPoints2: {ebdd36c4-1ef7-11e1-b368-001e101f63cf} - 0
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
Tcpip\..\Interfaces\{D0BF45C5-78ED-4FE9-A0FB-D14A261B517A}: [DhcpNameServer] 7.254.254.254
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3387874277-2504550756-3322508961-1004 -> Moikrug URL = hxxp://moikrug.ru/persons/?clid=41129&charset=utf-8&keywords={searchTerms}&submitted=1
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3387874277-2504550756-3322508961-1004 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-3387874277-2504550756-3322508961-1004 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=821272
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BEBECC24E-E7A0-4F84-BD7C-79218F8F05B5%7D&gp=821273
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Михаил\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-12-22]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Михаил\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-12-22]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Михаил\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-22]
FF SearchPlugin: C:\Users\Михаил\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2016-12-22]
CHR Extension: (Визуальные закладки) - C:\Users\Михаил\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\pchfckkccldkbclgdepkaonamkignanh [2016-12-23]
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
Task: {2BC05688-6D27-40DC-807B-B2236582ECEA} - \AdobeFlashPlayer-S-1-2-1298-9822 -> No File <==== ATTENTION
Task: {44ADC3BF-8359-448B-BE57-A7E3A6BFE81F} - \Steam-S-1-8-22-9865GUI -> No File <==== ATTENTION
Task: {711B5A00-51FE-44E7-AC75-A401348483E6} - \{64F77AF0-977C-4A21-B2CD-B385BA1E0EC6} -> No File <==== ATTENTION
Task: {C196A673-A60F-43DE-B2D0-7F82F734B2ED} - \GoogleUpdateTaskUserS-1-5-21-1970835742GUI -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM [85]
AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM [85]
AlternateDataStreams: C:\Users\Все пользователи:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM [85]
AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM [85]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM [85]
AlternateDataStreams: C:\Users\Михаил\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Михаил\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Михаил\AppData\Local\Application Data:wa [146]
EmptyTemp:
Reboot:
[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
P.S. если после выполнения скрипта пропадет интернет, в сетевых настройках укажите DNS [B]8.8.8.8[/B] и [B]8.8.4.4[/B]; или [B]77.88.8.8[/B] и [B]77.88.8.1[/B].
Лог
Что с проблемой ?
Помогло, спасибо!
Пожалуйста !!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\my web shield\mweshield.exe - [B]not-a-virus:HEUR:AdWare.Win32.Mewishid.gen[/B][*] c:\program files\my web shield\mweshieldup.exe - [B]not-a-virus:HEUR:AdWare.Win32.Mewishid.gen[/B][*] c:\windows\system32\drivers\mwescontroller.sys - [B]not-a-virus:AdWare.Win32.Agent.xxczfq[/B][/LIST][/LIST]