Здравствуйте!
В Chrome появилась реклама Вулкана.
После самостоятельных попыток избавиться от нее, система стала жутко тормозить.
Printable View
Здравствуйте!
В Chrome появилась реклама Вулкана.
После самостоятельных попыток избавиться от нее, система стала жутко тормозить.
Уважаемый(ая) [B]Роман Пушкин[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
Удалите Zaxar через установку программ в панели управления.
HiJackThis [URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
O1 - Hosts: 127.0.0.1 union.baidu2019.com
O2 - BHO: (no name) - {41564952-412D-5637-4300-7A786E7484D7} - (no file)
O4 - HKCU\..\Run: [Zaxar] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file)
O22 - ScheduledTask: (Running) [takeofftv] - {root} - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://takeofftv.su/awesomesm
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\program files (x86)\ghostery storage server\ghstore.exe');
TerminateProcessByName('c:\program files (x86)\system tools\systemtools.exe');
StopService('Ghostery Storage Server');
DeleteService('Ghostery Storage Server');
QuarantineFile('C:\Windows\vVX3000.exe','');
QuarantineFile('c:\program files (x86)\ghostery storage server\ghstore.exe','');
QuarantineFile('c:\program files (x86)\system tools\systemtools.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
DeleteFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe','32');
DeleteFile('c:\program files (x86)\system tools\systemtools.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
ExecuteFile('schtasks.exe', '/delete /TN "[takeofftv]" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{5BF2575E-A540-4B19-86B7-C4DAD7C8F945}" /F', 0, 15000, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
Добрый день!
В HiJackThis была только строка:
O4 - HKCU\..\Run: [Zaxar] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
файл с логом.
Уважаемый SQ, всё ли верно я сделал?
[QUOTE=Роман Пушкин;1422759]Уважаемый SQ, всё ли верно я сделал?[/QUOTE]
HiJackThis открывали с папки автологгера?
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
SQ, Доброе утро!
HiJackThis запускал не из папки автологгера...
Запустил HiJackThis из папки, удалил все строки кроме O22 - ScheduledTask: (Running) [takeofftv] - {root} - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" [url]http://takeofftv.su/awesomesm[/url] ее не было.
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Не могу прикрепить frst.txt - не хватает места, а менеджер вложений не позволяет удалить старые вложения.
Удалите старые вложения Мой кабинет => Вложения
Спасибо, не мог разобраться как удалить вложения.
Удалите Iobit (Driver booster) через установку программ в панели управления.
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HomePage: Default -> inline.go.mail.ru/homepage?inline_comp=hp&inline_hp_cnt=21071633
CHR StartupUrls: Default -> "hxxps://isearch.avg.com/?cid={14ADA5C2-951E-41E3-BB9F-4E866955E873}&mid=b7d8a4bd9d3d47d096bed151b59b9879-196f9146126a7d5862e1c605fd37e63be58352dc&lang=ru&ds=gm011&pr=sa&d=2012-05-31%2017:42:47&v=11.1.1.7&sap=hp","hxxp://www.google.com/","hxxps://isearch.avg.com/?cid={14ADA5C2-951E-41E3-BB9F-4E866955E873}&mid=b7d8a4bd9d3d47d096bed151b59b9879-196f9146126a7d5862e1c605fd37e63be58352dc&lang=ru&ds=gm011&pr=sa&d=2012-05-31 17:42:47&v=11.1.1.7&sap=hp","hxxp://mail.ru/cnt/10445?gp=818409","hxxp://mail.ru/cnt/10445?gp=820328"
CHR Extension: (Tampermonkey) - C:\Users\YaMaRoKa\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-24]
CHR HKU\S-1-5-21-4196894604-3982411869-4109497695-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-4196894604-3982411869-4109497695-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-4196894604-3982411869-4109497695-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
Task: {D155808B-8AF0-4716-BB05-DB237AE43063} - \WPD\SqmUpload_S-1-5-21-4196894604-3982411869-4109497695-500 -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
AlternateDataStreams: C:\Users\YaMaRoKa\Desktop\!!!!!отчет по посещаемости 2016.xls:com.dropbox.attributes [256]
AlternateDataStreams: C:\Users\YaMaRoKa\Desktop\!!!БАЗА.ods:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\YaMaRoKa\Desktop\!!ЗП - 2014-2015 интересная Версия.ods:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\YaMaRoKa\Desktop\!!ЗП - 2014-2015.ods:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\YaMaRoKa\Desktop\!поставки.ods:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\YaMaRoKa\Desktop\!Учёт МКЛ 10.2016.ods:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\YaMaRoKa\Desktop\!Учёт МКЛ 11.2016.ods:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\YaMaRoKa\Desktop\!Учёт МКЛ 12.2016.ods:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\YaMaRoKa\Desktop\БАЗА.ods:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [149]
FirewallRules: [{B3656CFD-43F3-461E-B3E5-73B1EC34798E}] => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{32574C8E-632B-445A-A0B7-76F77B90F9FD}] => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{579C1ABD-E068-464D-AF20-A0F247E185DC}] => C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{ED2534EF-9206-4B2D-8839-51A1391852B9}] => C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{80DB4936-E2EF-418D-9480-822960C7C506}] => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
FirewallRules: [{66FB5B7F-DB53-44C6-94C6-561625952F04}] => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Сделал
Сообщите, что с проблемой?
Добрый день!
Визуально проблема решена.
Спасибо!
Удачи Вам!