В общем то сабж Вирус подменяет браузеры Firefox и Chrome(только на них заметил)
Постоянно пытается запуститься FirefoxUpdate, но Нод32 блочит. Удалял, всё что связанно с этим процессом, но файла появляются опять.
Антивирус- ESET SS
Printable View
В общем то сабж Вирус подменяет браузеры Firefox и Chrome(только на них заметил)
Постоянно пытается запуститься FirefoxUpdate, но Нод32 блочит. Удалял, всё что связанно с этим процессом, но файла появляются опять.
Антивирус- ESET SS
Уважаемый(ая) [B]Quexy[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Не знаю, важно или нет, но:
Мазила не запускается(профиль повреждён). Запуск возможен командой firefox.exe -p там нажимаю на запустить браузер. никаких подмен нет. левые сайты не лезут.
Хром запускается, но исчезла вся история, пароли, логины и т.д. Пытается запустить сайт istatic.eshopcomp.com и поиск(хотя в настройках выставлен гугл и другие отсутствуют) происходит на каком-то левом сайте.
Как-то получилось запустить хром нестандартно(не вспомню уже как)- появилась опять история, логины. Т.е. похоже, что этими заменами запускаются другие профили.
В IE и Microsoft Edge изменений не заметил(не особо и пользуюсь)
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
ну и сразу MD5 карантина: 927BFF70B9596B72BAD5641B00ED4927
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
TerminateProcessByName('c:\program files\firefox\bin\firefoxupdate.exe');
StopService('FirefoxU');
QuarantineFile('c:\program files\firefox\bin\firefoxupdate.exe', '');
QuarantineFile('c:\users\pasha\appdata\roaming\winsnare\winsnare.dll', '');
QuarantineFile('C:\Program Files\amulell\ed2k.exe', '');
QuarantineFile('C:\Users\Pasha\AppData\Roaming\WinSAPSvc\WinSAP.dll', '');
QuarantineFile('C:\Program Files\MIO\MIO.exe', '');
QuarantineFile('C:\Program Files\Mehition\xdruverph.exe', '');
DeleteFile('c:\program files\firefox\bin\firefoxupdate.exe', '32');
DeleteFile('c:\users\pasha\appdata\roaming\winsnare\winsnare.dll', '32');
DeleteFile('C:\Program Files\amulell\ed2k.exe', '32');
DeleteFile('C:\Users\Pasha\AppData\Roaming\WinSAPSvc\WinSAP.dll', '32');
DeleteFile('C:\Program Files\MIO\MIO.exe', '32');
DeleteFile('C:\Program Files\Mehition\xdruverph.exe', '32');
DeleteService('FirefoxU');
DeleteService('ed2kidle');
DeleteFileMask('c:\users\pasha\appdata\roaming\winsnare', '*', true);
DeleteFileMask('c:\program files\amulell', '*', true);
DeleteFileMask('c:\program files\mio', '*', true);
DeleteFileMask('c:\program files\firefox\bin', '*', true);
DeleteFileMask('c:\program files\mehition', '*', true);
DeleteDirectory('c:\users\pasha\appdata\roaming\winsnare');
DeleteDirectory('c:\program files\amulell');
DeleteDirectory('c:\program files\firefox\bin');
DeleteDirectory('c:\program files\mio');
DeleteDirectory('c:\program files\mehition');
ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Rerqit" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Zerkkvo Nodifier" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters', 'ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSnare\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Запустите повторно [B]Malwarebytes AdwCleaner [/B](в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B] (Scan), /B]". Установите в пункте меню "Настройки" (Settings) галочку "[B]Сброс политик Chrome[/B]" .
Затем нажмите [B]Очистка[/B] ([B]Cleaning[/B]) и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Переустановите браузеры и сообщите, что с проблемами.
Карантин выслал. Проблем пока не замечено. Вроде компьютер даже легче работать стал. Возможно и плацебо.
Спасибо огромное!
З.Ы. AVZ Удаляет Маил.ру Агента
Не AVZ, а AdwCleaner, наверное. Пихают продукты Mail.Ru куда надо и куда не надо, вот причислили их к adware и PUP. Что не надо удалять по Вашему мнению - снимите перед очисткой соответствующие галочки на вкладке "Файлы". Файл AdwCleaner[C0].txt прикрепите.
Да, AdwCleaner. Перепутал.
Снимать галочки поздно. всё удалил.
Я просил файл AdwCleaner[[B]C[/B]0].txt просил прикрепить.
Запустите AdwCleaner и нажмите [B]Файл -> Деинсталлировать (Uninstall)[/B].
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]84[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]