Здравствуйте, каждые 10-20 минут открываются вкладки с различными сайтами казино. Даже когда браузер закрыт, он сам открывается, чтобы открыть те же сайты. Также знаю, что на компе много других мелких вирусников, хотелось бы от них избавиться ><
Здравствуйте, каждые 10-20 минут открываются вкладки с различными сайтами казино. Даже когда браузер закрыт, он сам открывается, чтобы открыть те же сайты. Также знаю, что на компе много других мелких вирусников, хотелось бы от них избавиться ><
Уважаемый(ая) [B]Hisama[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]-[HTTP][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NTI Media Maker 9\NTI Media Maker 9.lnk" -> ["C:\Program Files (x86)\NTI\NTI Media Maker 9\LauncherLoader.exe" =>> "hxxp://wowsiteru.ru"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net\Вattlе.net.lnk" -> ["C:\Users\802913\AppData\Roaming\Browsers\exe.rehcnual ten.elttab.bat"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Stаr Wars - The Оld Rеpubliс.lnk" -> ["C:\Users\802913\AppData\Roaming\Browsers\exe.rehcnual.bat"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hearthstone\Неarthstonе.lnk" -> ["C:\Users\802913\AppData\Roaming\Browsers\exe.rehcnual ateb enotshtraeh.bat"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Transformice.lnk" -> ["C:\Program Files (x86)\Transformice\Transformice.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlusMo - накрутка Вконтакте\PlusMo - запустить.lnk" -> ["C:\Users\802913\AppData\Local\PlusMo\PlusMo.exe" =>> -r]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlusMo - накрутка Вконтакте\PlusMo - проверить обновления.lnk" -> ["C:\Users\802913\AppData\Local\PlusMo\PlusMo.exe" =>> -c]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paws - A Shelter 2 Game [GOG.com]\Paws - A Shelter 2 Game.lnk" -> ["C:\GOG Games\Paws - A Shelter 2 Game\Paws.exe"]
>>> "C:\Users\802913\Desktop\Может быть когда-нибудь\Paws - A Shelter 2 Game.lnk" -> ["C:\GOG Games\Paws - A Shelter 2 Game\Paws.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paws - A Shelter 2 Game [GOG.com]\Uninstall Paws - A Shelter 2 Game.lnk" -> ["C:\GOG Games\Paws - A Shelter 2 Game\unins000.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GameNet.lnk" -> ["C:\Program Files (x86)\QGNA\qGNA.exe"]
>>> "C:\Users\802913\Desktop\Барахло\GameNet.lnk" -> ["C:\Program Files (x86)\QGNA\qGNA.exe"]
>>> "C:\Users\802913\Desktop\Барахло\BlueStacks.lnk" -> ["C:\Program Files (x86)\Bluestacks\BlueStacks.exe"][/CODE]
Отчёт о работе прикрепите.
Удалите браузер Amigo, если не сами установили, и/или не используете.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\program files (x86)\ghostery storage server\ghstore.exe');
TerminateProcessByName('c:\program files (x86)\iobit\liveupdate\liveupdate.exe');
TerminateProcessByName('c:\users\802913\appdata\roaming\tablacusapp\tablacusapp.exe');
StopService('Ghostery Storage Server');
StopService('LiveUpdateSvc');
QuarantineFileF('c:\program files (x86)\ghostery storage server', '*.exe', true, '', 0 , 0);
QuarantineFile('c:\program files (x86)\ghostery storage server\ghstore.exe', '');
QuarantineFile('c:\users\802913\appdata\roaming\tablacusapp\tablacusapp.exe', '');
QuarantineFile('C:\Users\802913\AppData\Roaming\SearchAY\python\pythonw.exe', '');
QuarantineFile('C:\Users\802913\AppData\Roaming\SearchAY\launchall.py', '');
QuarantineFile('C:\Users\802913\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '');
QuarantineFile('C:\Users\802913\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe', '');
QuarantineFile('C:\Users\802913\AppData\Local\MSCInfo\MSCInfo.exe', '');
DeleteFile('c:\program files (x86)\ghostery storage server\ghstore.exe', '32');
DeleteFile('c:\users\802913\appdata\roaming\tablacusapp\tablacusapp.exe', '32');
DeleteFile('C:\Users\802913\AppData\Roaming\SearchAY\python\pythonw.exe', '32');
DeleteFile('C:\Users\802913\AppData\Roaming\SearchAY\launchall.py', '32');
DeleteFile('C:\Users\802913\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '32');
DeleteFile('C:\Users\802913\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe', '32');
DeleteService('Ghostery Storage Server');
DeleteFileMask('c:\program files (x86)\ghostery storage server', '*', true);
DeleteFileMask('c:\users\802913\appdata\roaming\tablacusapp', '*', true);
DeleteFileMask('c:\users\802913\appdata\roaming\searchay', '*', true);
DeleteFileMask('c:\users\802913\appdata\roaming\0c1i1l1r1j0m1p0i1g', '*', true);
DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true);
DeleteDirectory('c:\program files (x86)\ghostery storage server');
DeleteDirectory('c:\program files (x86)\iobit');
DeleteDirectory('c:\users\802913\appdata\roaming\tablacusapp');
DeleteDirectory('c:\users\802913\appdata\roaming\searchay');
DeleteDirectory('c:\users\802913\appdata\roaming\0c1i1l1r1j0m1p0i1g');
DeleteDirectory('C:\Program Files (x86)\Zaxar');
ExecuteFile('schtasks.exe', '/delete /TN "RunAsStdUser_GameCenterMailRu" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SearchAY" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "hitsnews" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{D999C6FE-48E8-468C-8AA0-F8AA0F28D9D2}" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SearchAY');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mailruhomesearch');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'TablacusApp');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].
Карантин отослала. Благодарю за быстрый ответ х)
[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.
Буду следить, скоро отпишусь.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Только что вкладка с вулканом опять открылась сама :с
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Эх...
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
(TeamViewer GmbH) C:\Users\802913\AppData\Roaming\DIFX\dpinst.exe
HKU\S-1-5-21-4277879503-1842119739-1482883595-1002\...\Run: [BlueStacks Agent] => C:\Program Files (x86)\Bluestacks\HD-Agent.exe
HKU\S-1-5-21-4277879503-1842119739-1482883595-1002\...\Run: [dpinst] => C:\Users\802913\AppData\Roaming\DIFX\dpinst.exe [7293280 2013-02-19] (TeamViewer GmbH)
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> No File
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => -> No File
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => -> No File
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\McAfee\MSK => not found
FF Plugin-x32: @WildTangent.com/GamesAppPresenceDetector,Version=1.0 -> C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll [No File]
FF Plugin-x32: pmang.jp/pmangsupport-1 -> C:\Games\kek\BlackDesert_live\GameOn\Common files\Plugin\nppmangsupport.dll [No File]
FF Plugin HKU\S-1-5-21-4277879503-1842119739-1482883595-1002: @mail.ru/GameCenter -> C:\Users\802913\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR StartupUrls: Default -> "hxxps://www.google.ru/","hxxp://mail.ru/cnt/10445?gp=818410","hxxp://mail.ru/cnt/10445?gp=818408"
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [3046688 2016-07-29] (IObit)
R2 MSCInfo; C:\Users\802913\AppData\Local\MSCInfo\MSCInfo.exe [94464 2017-01-11] (Digital Action Consulting LTD)
C:\Program Files (x86)\IObit
S3 MBAMFarflt; \??\C:\WINDOWS\system32\drivers\farflt.sys [X]
S3 MBAMProtection; \??\C:\WINDOWS\system32\drivers\mbam.sys [X]
S3 MBAMWebProtection; \??\C:\WINDOWS\system32\drivers\mwac.sys [X]
2017-01-11 17:35 - 2017-01-11 17:35 - 00000000 ___HD C:\Users\802913\AppData\Roaming\DIFX
2017-01-11 16:58 - 2017-01-11 16:59 - 00000000 ____D C:\Users\802913\AppData\Local\MSCInfo
2016-12-28 23:05 - 2016-12-28 23:05 - 00000000 ____D C:\Users\Все пользователи\boost_interprocess
2016-12-28 23:05 - 2016-12-28 23:05 - 00000000 ____D C:\ProgramData\boost_interprocess
2014-08-10 19:21 - 2014-08-10 19:21 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2014-01-29 16:07 - 2014-01-29 16:07 - 0000212 _____ () C:\Users\802913\AppData\Local\poetsch.bat
CustomCLSID: HKU\S-1-5-21-4277879503-1842119739-1482883595-1002_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\802913\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => No File
Task: {002FB127-2570-4203-9B63-11F444E305F6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {3998A7F7-DFCE-44E8-B1BC-8E4630C12032} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {695D33A8-3309-4DFC-ADE1-6C9821677FB3} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {8B6422A5-6505-4B78-8640-5D061121F3A6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {96D98B05-6F34-4C6B-9168-EF7F0CBFFC17} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {9ED77FCE-17BD-4F04-9D96-7BFFB3825444} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {ADC61DD8-BA6D-4E01-AE0D-78F479E59D89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {B026CA02-BBCD-4CA6-8A83-FBE0D8F6BC4F} - System32\Tasks\{53A3C229-A028-4231-A867-3FB029642533} => pcalua.exe -a "C:\Program Files\utvideo\unins000.exe"
Task: {C57C6D67-B55C-4727-A42F-F68B118E01CA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {CD170006-2C5D-4BC4-BB9D-1EA5559B6B53} - System32\Tasks\dominantentfen => Chrome.exe hxxp://dominantentfen.ru/odoketasm
Task: {DDD241E4-B4B1-4992-B068-2EAAF71A1EF8} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {E33299FA-7E2B-4FAB-9616-0149F4F0B8A0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {EEC2D651-1DEF-49B9-8D1B-5A6753420787} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
HKU\S-1-5-21-4277879503-1842119739-1482883595-1002\...\StartupApproved\Run: => "RegistryCleanMaster"
FirewallRules: [{233F0328-4193-43EB-932A-63015E6951B5}] => C:\Users\802913\AppData\Local\Temp\is-VJIH5.tmp\setup21905.tmp
FirewallRules: [{40C04CC3-F4CE-4F9A-A425-6163EBA2724B}] => C:\Users\802913\AppData\Local\Temp\is-VJIH5.tmp\setup21905.tmp
FirewallRules: [{5F49152E-DC99-4EF0-A1E4-BDE31C0F85EE}] => C:\Users\802913\AppData\Local\Temp\is-IKHQ4.tmp\setup21388.tmp
FirewallRules: [{3C43EFE2-7395-4C5D-8A2E-F58C3C9DDC3F}] => C:\Users\802913\AppData\Local\Temp\is-IKHQ4.tmp\setup21388.tmp
FirewallRules: [{93B8806C-C037-4E9C-8430-0554E9C0C5EB}] => C:\Users\802913\AppData\Local\Temp\is-CEIR4.tmp\setup4432.tmp
FirewallRules: [{2CC6F672-2831-4F71-B0D1-862F39EA7FF0}] => C:\Users\802913\AppData\Local\Temp\is-CEIR4.tmp\setup4432.tmp
FirewallRules: [{ADCFED43-C59A-4CB9-9239-1169B77F9142}] => C:\Program Files (x86)\VuuPC\RemoteEngine.exe
FirewallRules: [{5E85328A-9497-4B00-919E-9D5EFA051CF9}] => C:\Program Files (x86)\VuuPC\Connectivity.exe
FirewallRules: [{EBAAC248-1633-43F8-99AC-9A7ACF08E376}] => C:\Users\802913\AppData\Local\Temp\is-K78NA.tmp\setup19715.tmp
FirewallRules: [{68E6EB50-0F12-4CDE-A6EA-8ECB127593A0}] => C:\Users\802913\AppData\Local\Temp\is-K78NA.tmp\setup19715.tmp
FirewallRules: [{CCE99EF9-3078-49CC-B0FA-939EF24C5B51}] => C:\Users\802913\AppData\Local\Amigo\Application\amigo.exe
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]
[COLOR="#FF0000"]Отключите до перезагрузки все экраны Avas[/COLOR]t, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
За проблемой наблюдаю, скоро отпишусь.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Пока что вкладки больше не открывались. Надеюсь, проблема решена. Если это так, огромное вам спасибо за помощь с:
Запустите AdwCleaner и нажмите [B]Файл (File) -> Деинсталлировать (Uninstall)[/B].
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\ghostery storage server\ghstore.exe - [B]not-a-virus:AdWare.Win32.Agent.kczo[/B][/LIST][/LIST]