В других браузерах пока не наблюдалось
Printable View
В других браузерах пока не наблюдалось
Уважаемый(ая) [B]RokeAlvo[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
Знакома ли Вам?
[CODE]C:\Program Files (x86)\Anvsoft\AnvsoftGhosteryStorageServer.exe[/CODE]
HiJackThis [URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
O1 - Hosts: 127.0.0.1 union.baidu2019.com
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [Zaxar] C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (file missing)
O4-32 - HKLM\..\Run: [adBanner] C:\Program Files (x86)\adBanner\Banner.exe -domain hduprockingbeats.ru -campaign 19299 -exec_id 68795499_45956 (file missing)
O22 - Task (Ready): jurnal-lifenetitechm - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe jurnal-life.net/itechm
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\themctrl.dll','');
QuarantineFile('c:\windows\system32\printdisp.exe','');
QuarantineFile('C:\Program Files (x86)\adBanner\Banner.exe','');
QuarantineFile('C:\Program Files (x86)\Samsung\IceniSamsung.exe','');
QuarantineFile('C:\Program Files (x86)\Yandex\GoogleYandex.exe','');
QuarantineFile('D:\mult\FalloutvDecepticonRePackmult.exe','');
QuarantineFile('D:\facae36d763b3c92f34695\FalloutvDecepticonRePackfacaedbcf.exe','');
QuarantineFile('C:\Program Files (x86)\Anvsoft\AnvsoftGhosteryStorageServer.exe','');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
ExecuteFile('schtasks.exe', '/delete /TN "jurnal-lifenetitechm" /F', 0, 15000, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
[QUOTE=SQ;1444388]Здравствуйте,
Знакома ли Вам?
[CODE]C:\Program Files (x86)\Anvsoft\AnvsoftGhosteryStorageServer.exe[/CODE]
HiJackThis [URL="http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376"]профиксить[/URL]
[CODE]
O1 - Hosts: 127.0.0.1 down.baidu2016.com
O1 - Hosts: 127.0.0.1 123.sogou.com
O1 - Hosts: 127.0.0.1 www.czzsyzgm.com
O1 - Hosts: 127.0.0.1 www.czzsyzxl.com
O1 - Hosts: 127.0.0.1 union.baidu2019.com
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [Zaxar] C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (file missing)
O4-32 - HKLM\..\Run: [adBanner] C:\Program Files (x86)\adBanner\Banner.exe -domain hduprockingbeats.ru -campaign 19299 -exec_id 68795499_45956 (file missing)
O22 - Task (Ready): jurnal-lifenetitechm - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe jurnal-life.net/itechm
[/CODE]
1. не знакомо
2. Там есть не все строки: [url]https://yadi.sk/i/2e9jBajf3GnUHC[/url]
[QUOTE=RokeAlvo;1444415]
2. Там есть не все строки: [url]https://yadi.sk/i/2e9jBajf3GnUHC[/url][/QUOTE]
Пожалуйста используете HiJackThis из каталога автологгера.
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
сделал
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
вот отчет adw
маил.ру снова появилось
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Вроде проблема решена.... маил.ру появилось изза установки игры warface от mail.ru
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR DefaultSearchURL: Profile 1 -> hxxp://www.istartsurf.com/web/?type=ds&ts=1442850843&z=4642fd74d7d836e02791da8g6z2z9o2bcw9eeqbq2t&from=face&uid=ST31000524AS_6VPG94R8XXXX6VPG94R8&q={searchTerms}
CHR DefaultSearchKeyword: Profile 1 -> istartsurf
CHR Extension: (The Safe Surfing) - C:\Users\All\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-10-12]
CHR Extension: (SearchWay) - C:\Users\All\AppData\Local\Google\Chrome\User Data\Default\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-03-30]
CHR Extension: (Tampermonkey) - C:\Users\All\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-03-30]
CHR Extension: (SearchWay) - C:\Users\All\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-03-30]
CHR Extension: (Tampermonkey) - C:\Users\All\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-03-30]
OPR Extension: (SearchWay) - C:\Users\All\AppData\Roaming\Opera Software\Opera Stable\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-03-30]
OPR Extension: (Tampermonkey) - C:\Users\All\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-04-02]
OPR Extension: (The Safe Surfing) - C:\Users\All\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-10-13]
2017-04-08 23:14 - 2017-04-08 23:14 - 00004941 _____ C:\Users\Все пользователи\czchsjpj.srw
2017-04-08 23:14 - 2017-04-08 23:14 - 00004941 _____ C:\ProgramData\czchsjpj.srw
2017-02-24 16:47 - 2017-02-24 16:47 - 0012546 _____ () C:\ProgramData\afcdjwcw.all
2017-04-08 23:14 - 2017-04-08 23:14 - 0004941 _____ () C:\ProgramData\czchsjpj.srw
2017-03-29 19:32 - 2017-03-29 19:32 - 0004143 _____ () C:\ProgramData\kmytnfun.aqy
2017-01-17 23:46 - 2017-01-17 23:46 - 0000016 _____ () C:\ProgramData\mntemp
Task: {54FC83D0-5E88-4803-B75A-511C366DF3E7} - \Microsoft\Windows\Autochk\WinKernel -> No File <==== ATTENTION
Task: {79F13F31-F491-4ADF-8ACF-0F7852918064} - \Muvotionatfesy Log -> No File <==== ATTENTION
Task: {97DF1BF2-7667-4FFF-A8CC-B3C51900046F} - \Microsoft\Windows\Multimedia\ReportSender -> No File <==== ATTENTION
Task: {A3722044-94CE-4C79-9384-C282DAAE4C14} - \PBot -> No File <==== ATTENTION
Task: {F50CD891-430F-4BC5-AD98-653D1CEDCA20} - \Bsiwardgogition Provider -> No File <==== ATTENTION
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
то ли еще раз словил что-то, то ли то же самое, только теперь в яндексБраузере...
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
да точно. в ЯндексБраузере страницы подменяются флешевой копией, при клике в любом месте открывается рекламная страница и показывается страница оригинал...
Пробуйте в яндекс-браузере отключить все расширения и понаблюдать если проблема проявляется?
отключил. пока открытия рекламных страниц в Яндексе не замечено. в Хроме снова открываются допстраницы и есть дополнительная реклама внутри страниц: [URL]https://yadi.sk/i/cOH43vJ93GykqG[/URL]
Отключите все расширения в Chrome и понаблюдайте.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\themctrl.dll - [B]Trojan.Win32.StartServ.gw[/B][/LIST][/LIST]