Поймал вирус, добавляющий Амиго, Одноклассники и т.д. Чистил браузер, удалял программы, проверял 3-мя антивирусами. Хочу убедиться, что его и след простыл. Спасибо.
Printable View
Поймал вирус, добавляющий Амиго, Одноклассники и т.д. Чистил браузер, удалял программы, проверял 3-мя антивирусами. Хочу убедиться, что его и след простыл. Спасибо.
Уважаемый(ая) [B]Negtogen[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\Users\Default\AppData\Local\host.bat', '');
QuarantineFile('C:\Users\Default\AppData\Local\sys.js', '');
QuarantineFile('C:\WINDOWS\SYSWOW64\6344089.exe', '');
DeleteFile('C:\Users\Виталий Русаков\AppData\Local\aCmDQzt.bat', '32');
DeleteFile('C:\Users\Виталий Русаков\AppData\Local\mtlbf.bat', '32');
ExecuteFile('schtasks.exe', '/delete /TN "naGdahLPMNv" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ssAHysRmKIhn" /F', 0, 15000, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Прислал, вроде как, а то оповещений никаких не было...
quarantine.zip загрузите в карантин.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Прикрепил, а при нажатии на клавишу "Прислать запрошенный карантин" появляется окно, где все надписи заменены ромбами, но я выбрал файл quarantine.zip и нажал на большую красную кнопку ( думаю, что она подразумевает загрузку).
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
Closeprocesses:
CMD: type C:\Users\Default\AppData\Local\sys.js
Virustotal^ C:\Users\Default\AppData\Local\sys.js
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811138
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811138"
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKU\S-1-5-21-2234113057-123046553-1603951102-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
2017-11-29 19:46 - 2017-11-29 19:46 - 000000000 ____D C:\Users\Виталий Русаков\AppData\Local\Tempzxpsignc76c517ea98ae698
2017-11-29 19:46 - 2017-11-29 19:46 - 000000000 ____D C:\Users\Виталий Русаков\AppData\Local\Tempzxpsign6e376ca47f09c797
Task: {BA7DB64C-54EF-4ED5-A10D-E7223B81D7C0} - \KMSAuto -> No File <==== ATTENTION
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
В FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сделал
Примените такой fixlist.txt в FRST64:[CODE]CMD: type C:\Users\Default\AppData\Local\host.bat[/CODE]Новый Fixlog.txt прикрепите.
Готово
И такой fixlist.txt напоследок:[CODE]Startup: C:\Users\Виталий Русаков\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sys.lnk [2017-01-22]
ShortcutTarget: sys.lnk -> C:\Users\Default\AppData\Local\sys.js ()
C:\Users\Default\AppData\Local\host.bat
C:\Users\Default\AppData\Local\system32.exe[/CODE]Новый Fixlog.txt прикрепите. И сообщите, что с проблемами.
Прикрепил, послежу за результатом...
Ну, пока ничего не тревожит, единственный вопрос: Системные ошибки (пример: ctfmon.exe - Системная ошибка) тоже вирус вызывал? На данный момент они не прослеживаются, но и понять, есть они или нет я не могу, т.к. появлялись при запуске чего-то.
Вряд ли, не все беды связаны с вирусами.
Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если его нет- продолжайте без него.
Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
Введите [B]sfc /scannow[/B] и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
Ладно, спасибо вам за оказанную помощь!
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]