Здравствуйте,опера открывает сайты Time to read,казино вулкан и другие сайты,стало много рекламы на страницах,компьютер стал немного медленее работать
Здравствуйте,опера открывает сайты Time to read,казино вулкан и другие сайты,стало много рекламы на страницах,компьютер стал немного медленее работать
Уважаемый(ая) [B]Domien[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[B]1.[/B] [URL="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ[/URL]:
[CODE]
begin
StopService('Ea3Host');
DeleteService('Ea3Host');
TerminateProcessByName('c:\users\Артем\appdata\roaming\enigma software group\sh_installer.exe');
TerminateProcessByName('C:\Windows\System32\Ea3Host.exe');
QuarantineFile('C:\Users\328F~1\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat','');
QuarantineFile('C:\Users\Артем\appdata\roaming\curl\curl_7_54.exe','');
QuarantineFile('C:\Users\Артем\AppData\Local\yc\Application\yc.exe','');
QuarantineFile('C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe','');
QuarantineFile('c:\users\Артем\appdata\roaming\enigma software group\sh_installer.exe','');
QuarantineFile('C:\Windows\System32\Ea3Host.exe','');
DeleteFile('C:\Users\328F~1\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat','32');
DeleteFile('C:\Windows\System32\Ea3Host.exe','32');
DeleteFile('c:\users\Артем\appdata\roaming\enigma software group\sh_installer.exe','32');
//DeleteFile('C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys','32');
DeleteFile('C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe','32');
DeleteFile('C:\Users\Артем\AppData\Local\yc\Application\yc.exe','32');
DeleteFile('C:\Users\Артем\appdata\roaming\curl\curl_7_54.exe','32');
DeleteFileMask('C:\Users\Артем\AppData\Local\yc','*',true);
DeleteFileMask('C:\Users\Артем\appdata\roaming\curl','*',true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nsnrijpqeq','command');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
[/CODE]
В папке с AVZ появится архив карантина - quarantine.zip. Прикрепите его по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
[B]2.[/B] [URL="https://virusinfo.info/showthread.php?t=4491"]Пофиксить в HijackThis[/URL] следующие строчки:
[CODE]
O4 - MSConfig\startupreg: [Realtek_HD_Audio_Driver] C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe (file missing) (HKCU) (2017/09/07)
O4 - MSConfig\startupreg: [nsnrijpqeq] C:\Windows\explorer.exe "http://epsinve.ru/?utm_source=uoua03&utm_content=4d0eb7bd664500cadb96689ee0cf3a1c&utm_term=59E90831D63D5C257DF64115636FD608&utm_d=20170907" (HKCU) (2017/09/07)
O4 - MSConfig\startupreg: [ycAutoLaunch_68699A97CE4C312F95E3C2FEA0A9A51E] C:\Users\Артем\AppData\Local\yc\Application\yc.exe /prefetch:5 (HKCU) (2017/09/07)
O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 82.202.226.203
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
[/CODE]
[B]3.[/B] Скачайте [URL="http://virusinfo.info/soft/tool.php?tool=ClearLNK"]ClearLNK[/URL] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.
[B]4.[/B] Подготовьте и прикрепите лог сканирования [URL="https://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL]
[B]5. [/B][B]Повторите[/B] логи согласно правилам и прикрепите их следующим сообщением.
Карантин отправил,все сделал по инструкции
Не прикрепили новые логи.
[QUOTE]5. Повторите логи согласно правилам и прикрепите их следующим сообщением.[/QUOTE]
Что с проблемой?
Опера все так же открывает не желательные сайты
вот новые логи
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
вот архив
[B]1.[/B]Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[CODE]
Start::
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=59E90831D63D5C257DF64115636FD608&utm_d=20170907"
FF HKU\S-1-5-21-1026869792-3129990513-3949884669-1000\...\Firefox\Extensions: [[email protected]] - C:\Users\Артем\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
FF Plugin HKU\S-1-5-21-1026869792-3129990513-3949884669-1000: @acestream.net/acestreamplugin,version=3.1.12.1 -> C:\Users\Артем\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
Task: {5A593550-94F9-4202-9243-4F13E0C8F470} - \Windows_Antimalware_Host -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end::
[/CODE]
Cохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
[B]2.[/B]Если после выполнения 1 пункта опера продолжит открывать нежелательные сайты, отключите все расширения в Opera, если проблема пропадет, включайте по одному и проверяйте эффект.
Просьба сообщить по результатам.
спасибо большое,помогло!!!оказывается все дело в расширении было,откючил его
Отлично! Какое именно расширение вызывало проблемы?
На этом все.
[B]В завершение:[/B]
Рекомендую [URL="https://virusinfo.info/showthread.php?t=7239"]выполнить скрипт AVZ[/URL] для поиска уязвимостей:
[B]Внимание![/B] Скрипт необходимо выполнять при наличие доступа в интернет.
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
По завершению его работы, если будут обнаружены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
А так же, ознакомиться с:
[URL="https://virusinfo.info/showthread.php?t=121902"]Советы и рекомендации после лечения компьютера.[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\артем\appdata\local\yc\application\yc.exe - [B]UDS:DangerousObject.Multi.Generic[/B][/LIST][/LIST]