в браузере стало выходить окно с рекламой, и не могу получить доступ к акаунту, на почту гугл заходили с другого места...
Printable View
в браузере стало выходить окно с рекламой, и не могу получить доступ к акаунту, на почту гугл заходили с другого места...
Уважаемый(ая) [B]EminZav[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O4 - HKCU\..\Run: [8362160] = C:\Users\eminz\AppData\Local\Temp\is-VLFFL.tmp\Beats.exe /VERYSILENT
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: Microsoft LocalManager [2860328539] - C:\ProgramData\{24328268-2432-2432-243282688124}\csrss.exe
O22 - Task: Windows Service - C:\ProgramData\WMI Provider Host\\Wmi64Update.exe (file missing)
O22 - Task: fvfgcfsgevabo - C:\Windows\system32\msiexec.exe /quiet /i "C:\Users\eminz\AppData\Roaming\ncxxxytiasem\obgewboavkuokva.msi" WEBID=PP_MN_P3 TKNME=fvfgcfsgevabo
O22 - Task: fzrstrziklqryfr - C:\Windows\system32\msiexec.exe /quiet /i "C:\Users\eminz\AppData\Roaming\ncxxxytiasem\obgewboavkuokva.msi" WEBID=PP_MN_P3 TKNME=fzrstrziklqryfr
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\ProgramData\WMI Provider Host\Wmi64Update.exe','');
TerminateProcessByName('c:\users\eminz\appdata\local\temp\is-vlffl.tmp\beats.exe');
TerminateProcessByName('c:\users\eminz\appdata\local\temp\is-tk5hb.tmp\beats.tmp');
TerminateProcessByName('c:\programdata\{24328268-2432-2432-243282688124}\csrss.exe');
TerminateProcessByName('c:\programdata\wmi provider host\wmi64update.exe');
QuarantineFile('C:\ProgramData\{24328268-2432-2432-243282688124}\csrss.exe','');
QuarantineFile('C:\Users\eminz\AppData\Roaming\ncxxxytiasem\obgewboavkuokva.msi','');
QuarantineFile('C:\Users\eminz\AppData\Roaming\amd64_microsoft-windows-l..componentsinstaller\TSWorkspace.exe','');
QuarantineFile('C:\Users\eminz\AppData\Local\Temp\is-VLFFL.tmp\Beats.exe','');
QuarantineFile('C:\Users\eminz\AppData\Local\Temp\is-2T7BK.tmp\idp.dll','');
QuarantineFile('c:\programdata\wmi provider host\wmi64update.exe','');
QuarantineFile('c:\programdata\{24328268-2432-2432-243282688124}\csrss.exe','');
QuarantineFile('c:\users\eminz\appdata\local\temp\is-tk5hb.tmp\beats.tmp','');
QuarantineFile('c:\users\eminz\appdata\local\temp\is-vlffl.tmp\beats.exe','');
DeleteFile('c:\users\eminz\appdata\local\temp\is-vlffl.tmp\beats.exe','32');
DeleteFile('c:\users\eminz\appdata\local\temp\is-tk5hb.tmp\beats.tmp','32');
DeleteFile('c:\programdata\{24328268-2432-2432-243282688124}\csrss.exe','32');
DeleteFile('c:\programdata\wmi provider host\wmi64update.exe','32');
DeleteFile('C:\Users\eminz\AppData\Local\Temp\is-2T7BK.tmp\idp.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8362160');
DeleteFile('C:\Users\eminz\AppData\Local\Temp\is-VLFFL.tmp\Beats.exe','32');
DeleteFile('C:\Users\eminz\AppData\Roaming\amd64_microsoft-windows-l..componentsinstaller\TSWorkspace.exe','32');
DeleteFile('C:\Windows\system32\Tasks\-2-4-97-1015822504-1176170007-1017796221-2895\{FNAX33DP-B34A-GZHA-CY8-CERBQ7LNHDG}','64');
DeleteFile('C:\Windows\system32\Tasks\fvfgcfsgevabo','64');
DeleteFile('C:\Users\eminz\AppData\Roaming\ncxxxytiasem\obgewboavkuokva.msi','32');
DeleteFile('C:\Windows\system32\Tasks\fzrstrziklqryfr','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft LocalManager [2860328539]','64');
DeleteFile('C:\ProgramData\{24328268-2432-2432-243282688124}\csrss.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Windows Service','64');
DeleteFile('C:\ProgramData\WMI Provider Host\Wmi64Update.exe','32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.
проблемма с карантином (Ошибка загрузки. Данный файл уже был загружен)
значит карантин пустой.
[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.