периодически вылазит окно Касперского с угрозой Trojan.Multi.DNSChanger.a в System Memory
лечение с перезагрузкой не решает проблемы.
до этого появлялись и другие угрозы.
Касперский лицензионный, обновляется регулярно, полная проверка не помогает.
периодически вылазит окно Касперского с угрозой Trojan.Multi.DNSChanger.a в System Memory
лечение с перезагрузкой не решает проблемы.
до этого появлялись и другие угрозы.
Касперский лицензионный, обновляется регулярно, полная проверка не помогает.
Уважаемый(ая) [B]Vampirebat[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe', '32');
DeleteFile('C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll', '32');
DeleteFile('C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe', '32');
DeleteFile('C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe', '32');
DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\AvMHi_8X5g.dll', '32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
DeleteFile('C:\Users\E786~1\AppData\Roaming\curl\curl.exe', '32');
DeleteFile('C:\Users\Дом\AppData\Roaming\MyDesktop\qweeeCL.exe', '32');
ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "space(title, t_delayed)" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "space(title, t_monitor)" /F', 0, 15000, true);
DeleteFileMask('c:\program files (x86)\baidu', '*', true);
DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
DeleteFileMask('c:\program files (x86)\onesystemcare', '*', true);
DeleteFileMask('c:\program files (x86)\torrent search', '*', true);
DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
DeleteFileMask('c:\users\e786~1\appdata\roaming\curl', '*', true);
DeleteFileMask('c:\users\дом\appdata\roaming\mydesktop', '*', true);
DeleteDirectory('c:\program files (x86)\baidu');
DeleteDirectory('c:\program files (x86)\mail.ru');
DeleteDirectory('c:\program files (x86)\onesystemcare');
DeleteDirectory('c:\program files (x86)\torrent search');
DeleteDirectory('c:\program files (x86)\zaxar');
DeleteDirectory('c:\users\e786~1\appdata\roaming\curl');
DeleteDirectory('c:\users\дом\appdata\roaming\mydesktop');
DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MyDesktop');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Удалите непонятного происхождения AdwCleaner, версия 7.0.5.0 - это portable и только программа.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].
[QUOTE=Vvvyg;1479234]
Удалите непонятного происхождения AdwCleaner, версия 7.0.5.0 - это portable и только программа.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].[/QUOTE]
AdwCleaner, версия 7.0.5.0 - это я в декабре 2017 скачивал, пытался чистить всплывающие сообщения о троянах, вроде на какое то время помогло...
лог с AdwCleaner 7.1.0.0 прилагаю.
Проблема актуальна?
Базы KIS обновлены?
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
сообщение про вирус больше не вылазит, даже комп "ожил" быстрее загружается и быстрее программы запускаются, меньше тормозит. что-то еще посоветуете?
в приложении логи FRST
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
BHO: Torrent Search -> {05EB6920-D8AD-4350-BEF1-4F7107F70431} -> C:\Program Files (x86)\Torrent Search\Toolbar64.dll => No File
Toolbar: HKU\S-1-5-21-3741954958-2870164438-2109557022-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF Extension: (No Name) - C:\Users\Дом\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-03-29] [not signed]
FF Extension: (No Name) - C:\Users\Дом\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2017-03-29] [not signed]
FF Extension: (supermegabest) - C:\Users\Дом\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\[email protected] [2016-03-23] [Legacy]
FF Extension: (No Name) - C:\Users\Дом\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-03-29] [not signed]
FF Extension: (No Name) - C:\Users\Дом\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2017-03-29] [not signed]
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKU\S-1-5-21-3741954958-2870164438-2109557022-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3741954958-2870164438-2109557022-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
S1 uzcxmjq4; C:\Windows\SysWOW64\Drivers\uzcxmjq4.sys [11264 2014-02-09] () [File not signed]
2018-04-12 21:42 - 2015-12-05 10:03 - 000000000 ____D C:\ProgramData\IObit
2018-04-12 21:42 - 2015-10-27 10:04 - 000000000 ____D C:\Users\Дом\AppData\Roaming\IObit
2018-04-12 21:42 - 2014-04-25 07:30 - 000000000 ____D C:\AdwCleaner
Task: {117F0E61-FB97-42EA-9BF5-3E980A4FEEA9} - \curl -> No File <==== ATTENTION
Task: {1AF5EDE9-A473-4994-B8DE-C4C985AD1674} - \{08780447-0F08-0A78-0911-0F7D097E117F} -> No File <==== ATTENTION
Task: {2F76EA81-A5D4-4032-A1F0-6E8F8DE1A518} - \packagest -> No File <==== ATTENTION
Task: {66363398-7E49-42D6-B7B9-F1131E7122FB} - \setupsk_upd -> No File <==== ATTENTION
Task: {AC638AF6-190D-4E3E-B3FE-DEB81AECE925} - \ifgker -> No File <==== ATTENTION
MSCONFIG\startupreg: baidu =>
MSCONFIG\startupreg: ZaxarLoader =>
FirewallRules: [{858C7BAB-0CD9-4EF4-B6A1-D8B924203371}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{9245BB89-63AC-4263-82F5-5EC9F8A254FD}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{FF535679-16EF-4814-BBC0-8611A5E86893}] => (Allow) C:\Users\Дом\AppData\Local\Temp\is-A013Q.tmp\thorn_setup.tmp
FirewallRules: [{E218D9DB-715C-4336-BD7F-E021488B1913}] => (Allow) C:\Users\Дом\AppData\Local\Temp\is-A013Q.tmp\thorn_setup.tmp
FirewallRules: [{BAC431DB-8D02-45A1-A374-F4B6FBF8A95E}] => (Allow) 㩃啜敳獲쑜䅜灰慄慴剜慯業杮獜湳獜湳攮數
FirewallRules: [{BE499B8E-2215-421D-A073-2AA5764D96B0}] => (Allow) 㩃啜敳獲쑜䅜灰慄慴剜慯業杮獜湳獜癡略硥e
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]