Вирусы

Printable View

24.02.2017, 16:14
Askold_Vespa

Вложений: 1

Вирусы

[SIZE=2]Здравствуйте[/SIZE]. [B]Прошу у вас помощи[/B]. У меня появились [B]вирусы в браузере[/B], которые постоянно открывают различные вкладки.
Раньше такие вирусы я мог удалить самостоянно, но сейчас почему-то не могу...
По-моему, больше проблем нету.[SIZE=2][/SIZE]
UPD: Антивирус Аваст, а также утилиты (CCleaner, IObit Uninstaller) не могут мне с этим помочь
24.02.2017, 16:15
Info_bot

Уважаемый(ая) [B]Askold_Vespa[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.02.2017, 21:24
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('ContentProtectorDrv');
StopService('protectiondrvr');
QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '');
QuarantineFile('C:\Users\ASKOLD~1\AppData\Local\Temp\nsdFCEB.tmp.sys', '');
QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
QuarantineFile('C:\Users\Askold_Vespa\AppData\Local\Hostinstaller\3360132372_monster.exe', '');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\QQPCRTP.exe', '32');
DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys', '32');
DeleteFile('C:\Users\ASKOLD~1\AppData\Local\Temp\nsdFCEB.tmp.sys', '32');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\QMUdisk.sys', '32');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\QQSysMon.sys', '32');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\softaal.sys', '32');
DeleteFile('C:\Program Files\Tencent\QQPCMGR\Plugins\SRepairDrv', '32');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\TS888.sys', '32');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\TSKsp.sys', '32');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\TsNetHlp.sys', '32');
DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
DeleteFile('C:\Users\Askold_Vespa\AppData\Local\Amigo\Application\vk.exe', '32');
DeleteFile('C:\Users\Askold_Vespa\AppData\Local\Amigo\Application\amigo.exe', '32');
DeleteFile('C:\Users\Askold_Vespa\AppData\Local\Amigo\Application\ok.exe', '32');
DeleteFile('C:\Users\Askold_Vespa\AppData\Local\Hostinstaller\3360132372_monster.exe', '32');
DeleteService('QQPCRTP');
DeleteService('ContentProtectorDrv');
DeleteService('protectiondrvr');
DeleteService('QMUdisk');
DeleteService('QQSysMon');
DeleteService('softaal');
DeleteService('SRepairDrv');
DeleteService('TS888');
DeleteService('TSKSP');
DeleteService('tsnethlp');
DeleteFileMask('c:\program files\tencent', '*', true);
DeleteFileMask('c:\users\askold_vespa\appdata\local\amigo', '*', true);
DeleteFileMask('c:\users\askold_vespa\appdata\local\hostinstaller', '*', true);
DeleteDirectory('c:\program files\tencent');
DeleteDirectory('c:\users\askold_vespa\appdata\local\amigo');
DeleteDirectory('c:\users\askold_vespa\appdata\local\hostinstaller');
ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Phoenix Browser Updater" /F', 0, 15000, true);
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(21);
ExecuteRepair(3);
ExecuteRepair(13);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

Сделайте новый лог Autologger, держите клавишу Shift при нажатии на Ok после запуска программы.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].
27.02.2017, 23:27
Askold_Vespa

Вложений: 3

Новые логи

[COLOR=#555555][FONT=Arial]" Перетащите лог Check_Browsers_LNK.log на [/FONT][/COLOR][URL="http://dragokas.com/tools/ClearLNK.zip"]утилиту ClearLNK[/URL][COLOR=#555555][FONT=Arial]. Отчёт о работе прикрепите.[/FONT][/COLOR]
[COLOR=#555555][FONT=Arial]Сделайте новый лог Autologger, держите клавишу Shift при нажатии на Ok после запуска программы.[/FONT][/COLOR]
[COLOR=#555555][FONT=Arial]Сделайте лог [/FONT][/COLOR][URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL][COLOR=#555555][FONT=Arial]. "

Всё это выполнил и по-вставлял.

[/FONT][/COLOR][COLOR=#555555][FONT=Arial]"В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме."
Вставил как карантин.

я не уверен, но надеюсь, что всё правильно сделал. Извините, если что-то неправильно.[/FONT][/COLOR]
28.02.2017, 07:09
Vvvyg

[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.
28.02.2017, 17:41
Askold_Vespa

Вложений: 2

Вот [COLOR=#333333]отчёт AdwCleaner.
[/COLOR]Очистил кэш браузера, историю , и coockies-файлы.
Была возникла проблема с интернетом.., не знал в чём дело... Где-то через 2 часа когда включил комп инет уже был.

Хочу спросить, что делать, нажать "Reset all settings" (Востановить настройки)
Или просто закрыть ?
я не долго сижу за ПК, но сайты пока-что не открываются (наверное и не будут - спасибо огромное)
28.02.2017, 21:06
Vvvyg

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
01.03.2017, 00:46
Askold_Vespa

Вложений: 1

Отправляю новые отчеты.
01.03.2017, 07:16
Vvvyg

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKU\S-1-5-21-816756082-129882184-2810921808-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ovgorskiy.ru
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> D:\IObit Uninstaller\UninstallExplorer.dll => No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=818409
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BBAB49BDA-31B8-4A2A-839E-615B59A0D486%7D&gp=811041
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Askold_Vespa\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-12-04]
FF Extension: (No Name) - C:\Users\Askold_Vespa\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-12-04] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Askold_Vespa\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-04]
CHR Extension: (Tampermonkey) - C:\Users\Askold_Vespa\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-04]
CHR Extension: (GoTouring) - C:\Users\Askold_Vespa\AppData\Local\Google\Chrome\User Data\Default\Extensions\eemilchbjlpgmmhdegeighjjljacmlbm [2016-12-15]
CHR Extension: (Tampermonkey) - C:\Users\Askold_Vespa\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-05]
CHR HKU\S-1-5-21-816756082-129882184-2810921808-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (Tampermonkey) - C:\Users\Askold_Vespa\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-04]
OPR Extension: (The Safe Surfing) - C:\Users\Askold_Vespa\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-12-16]
OPR Extension: (GoTouring) - C:\Users\Askold_Vespa\AppData\Roaming\Opera Software\Opera Stable\Extensions\lbgldchagohanjpkngdkbajipihoboai [2016-12-15]
OPR Extension: (Teddy Protection Lite) - C:\Users\Askold_Vespa\AppData\Roaming\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn [2017-02-08]
OPR Extension: (Youtube Nice Look) - C:\Users\Askold_Vespa\AppData\Roaming\Opera Software\Opera Stable\Extensions\pdaepkmfgifoghfjmkelllldadamfnjb [2016-09-24]
S2 ihctrl32; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 wsaudio; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
2016-03-28 00:30 - 2016-03-28 00:30 - 0005120 _____ () C:\Users\Askold_Vespa\AppData\Roaming\GiftBag.db
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой. Если не поможет - делайте сброс настроек Chrome/
04.03.2017, 16:59
Askold_Vespa

Вложений: 1

Проблемы больше нет. Огромное спасибо!)
04.03.2017, 21:29
Vvvyg

Запустите AdwCleaner и нажмите [B]Файл -> Деинсталлировать (Uninstall)[/B].

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
04.03.2017, 21:39
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]