Еще я меню браузера "История" нашел каким-то образом закрепленные там ссылки на вредоносные сайты.
Printable View
Еще я меню браузера "История" нашел каким-то образом закрепленные там ссылки на вредоносные сайты.
[URL="http://virusinfo.info/showthread.php?t=121769"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
BREG
delref %SystemDrive%\USERS\ANONIMOUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_1\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
deldir %SystemDrive%\PROGRAM FILES\ЇМС№
delref %SystemDrive%\PROGRAM FILES\ЇМС№\X64
deldir %SystemDrive%\USERS\ANONIMOUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEPAKMLJODOBHLBBKPOBBLNIFMHCLEMH
delref %SystemDrive%\USERS\ANONIMOUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEPAKMLJODOBHLBBKPOBBLNIFMHCLEMH\1.1.2_0\PAGELINER
deltmp
delnfr
restart[/CODE]
Очистите куки, кэш браузеров и кэш DNS ([URL="http://virusinfo.info/showthread.php?t=128635"]http://virusinfo.info/showthread.php?t=128635[/URL])
PageLiner пропал. Ссылки, описанные в сообщении #41, остались.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/URL]
Выполнено
Удалите все из следующего списка, что Вам не знакома:
[CODE]Trojan.ProxyHijacker, HKLM\SOFTWARE\CLASSES\DjVu Reader.DynamicNS, , [2a0448d9326880b6864c2f67f9093ec2],
Trojan.ProxyHijacker, HKLM\SOFTWARE\CLASSES\{AEB11ACF-E634-44AE-AB25-6100E6AE04CE}.DynamicNS, , [a589db46faa05ed88a48ebab40c2b54b],
Trojan.ProxyHijacker, HKLM\SOFTWARE\WOW6432NODE\CLASSES\DjVu Reader.DynamicNS, , [a589db46faa05ed88a48ebab40c2b54b],
Trojan.ProxyHijacker, HKLM\SOFTWARE\WOW6432NODE\CLASSES\{AEB11ACF-E634-44AE-AB25-6100E6AE04CE}.DynamicNS, , [a589db46faa05ed88a48ebab40c2b54b],
Trojan.ProxyHijacker, HKLM\SOFTWARE\CLASSES\WOW6432NODE\DjVu Reader.DynamicNS, , [a589db46faa05ed88a48ebab40c2b54b],
Trojan.ProxyHijacker, HKLM\SOFTWARE\CLASSES\WOW6432NODE\{AEB11ACF-E634-44AE-AB25-6100E6AE04CE}.DynamicNS, , [a589db46faa05ed88a48ebab40c2b54b],
PUP.Optional.Tuto4PC, HKLM\SOFTWARE\MICROSOFT\TRACING\otutnetwork_RASAPI32, , [e14de23f9ffbab8b002256a635ce1ae6],
PUP.Optional.Tuto4PC, HKLM\SOFTWARE\MICROSOFT\TRACING\otutnetwork_RASMANCS, , [290542df1e7c0e28e43ea15b06fd51af],
PUP.Optional.Linkury.ACMB1, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SILENTPROCESSEXIT\Lamzap.exe, , [a688c45d8614989e8d839a63f50eec14],
PUP.Optional.Linkury.ACMB1, HKU\S-1-5-18\ENVIRONMENT|SNP, http://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D?publisher=APSFClickMeIn&co=RU&userid=7e19d579-44e5-271e-9c06-ef061702c09e&searchtype=sc&installDate=25.06.2016&barcodeid=51107004&channelid=4&av=windows, , [e34bf92895055bdbbccd4ea709fac739]
PUP.Optional.Linkury.ACMB1, HKU\S-1-5-21-453488145-629660601-2547047051-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHURL|Default, http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQYh0rBtjqRCRhT_3agcpbHsB4pCIjOMe6weMJWsBdUBoaCuYZIvdNrFSyVF-aiBND89AiOmtlAtgQtFCcgP0l-g2I9C&q={searchTerms}, , [d757c35ee8b2d066ed72995e788b30d0]
PUP.Optional.Linkury.ACMB1, HKU\S-1-5-21-453488145-629660601-2547047051-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH|Default_Search_URL, http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQYh0rBtjqRCRhT_3agcpbHsB4pCIjOMe6weMJWsBdUBoaCuYZIvdNrFSyVF-aiBND89AiOmtlAtgQtFCcgP0l-g2I9C&q={searchTerms}, Good: (www.google.com), Bad: (http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPgVzx87ub16L9WpE-LNtfzbNYzylQxNwK5lIZotmOg5EvE2drj8r0YrVQSam6DbRu4hS-qHTj5fQDiQYh0rBtjqRCRhT_3agcpbHsB4pCIjOMe6weMJWsBdUBoaCuYZIvdNrFSyVF-aiBND89AiOmtlAtgQtFCcgP0l-g2I9C&q={searchTerms}),,[ba7425fcbae03cfadd42106a15ef22de]
[/CODE]
Удалил. Ситуация со ссылками на вред.сайты без изменений.
[QUOTE=vsh;1391271]Удалил. Ситуация со ссылками на вред.сайты без изменений.[/QUOTE]
На сколько Вам критично сохранить историю браузера Chrome?
Мне желательно сохранить закладки и особенно пароли. История сама по себе не так важна для меня.
попробуйте очистить историю, удалив следующие файлы
[CODE]
History Provider Cache
History
History-journal[/CODE]
в каталоге:
[CODE]
[B]C:\Users\Anonimous\AppData\Local\Google\Chrome\User Data\Default[/B]
[/CODE]
P.S. предварительно сохранив файлы истории, до завершения лечения, для того чтобы возможно было откатиться.
Удаление ни к чему не приводит: при включении браузера эти файты опять там появляются, и в Истории соответственно все по-прежнему.
[QUOTE=vsh;1391336]Удаление ни к чему не приводит: при включении браузера эти файты опять там появляются, и в Истории соответственно все по-прежнему.[/QUOTE]
Должны появиться новые пустые файлы, если после этого вредоносные записи остаются, значит они прописаны не в файлах истории.
Можете предоставить доступ к Вашему ПК, по средством teamviewer?
P.S. Важно, если можете предоставить, то дальнейшая переписка будет ввести в лс. Не в коем случае не предоставляйте доступ публично.
Остаются не только вредоносные файлы, но и вся история. То есть удаление этих трех файлов из названной директории не оказывает вообще никакого видимого влияния на работу Chrome.
Возможности помощи без тимвьюэра исчерпаны? Для меня это несколько революционный метод..
[QUOTE=vsh;1391401]Возможности помощи без тимвьюэра исчерпаны? Для меня это несколько революционный метод..[/QUOTE]
Дело в том, что в логах не видно, указанной Вами проблемы с историей.
Попробуйте закрыть Chrome и переименуйте файл профиля с
[CODE]C:\Users\Anonimous\AppData\Local\Google\Chrome\User Data\Default[/CODE]
на
[CODE]C:\Users\Anonimous\AppData\Local\Google\Chrome\User Data\Default_bak[/CODE]
Для того чтобы понять проблема в профиле или в других настройках.
Видимо, проблема в профиле: после переименования ссылки на вредоносные сайты пропадают вместе со всей остальной инфой профиля.
[QUOTE=vsh;1391433]Видимо, проблема в профиле: после переименования ссылки на вредоносные сайты пропадают вместе со всей остальной инфой профиля.[/QUOTE]
Тогда закройте Chrome переменуйте профиль:
[CODE]C:\Users\Anonimous\AppData\Local\Google\Chrome\User Data\Default[/CODE]
в
[CODE]C:\Users\Anonimous\AppData\Local\Google\Chrome\User Data\Default_del[/CODE]
Далее для отказа ранее совершенных изменений профиль:
[CODE]C:\Users\Anonimous\AppData\Local\Google\Chrome\User Data\Default_bak[/CODE]
в
[CODE]C:\Users\Anonimous\AppData\Local\Google\Chrome\User Data\Default[/CODE]
- Подготовьте новый лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
Готово
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Готово. Ситуация без изменений.
Могли бы уточнить в сторонней программе [URL="http://www.nirsoft.net/utils/browsinghistoryview.zip"]BrowsingHistoryView[/URL] видны ли вредоносные ссылки в истории? Подробнее о программе BrowsingHistoryView можете ознакомиться [URL="http://www.nirsoft.net/utils/browsing_history_view.html"]тут[/URL].
Нет. Причем странно - я только что перешел по одной из этих вредоносных ссылок, и затем вынужден был в Диспетчере задач закрыть Chrome, но эта вредоносная страница не отображается ни в истории Chrome, ни в истории при поиске в этой сторонней программе.
[QUOTE=vsh;1391539]Нет. Причем странно - я только что перешел по одной из этих вредоносных ссылок, и затем вынужден был в Диспетчере задач закрыть Chrome, но эта вредоносная страница не отображается ни в истории Chrome, ни в истории при поиске в этой сторонней программе.[/QUOTE]
Значит, у Вас что-то с профилем, к сожалению в логах не видны эти ссылки из-за этого не возможно прописать сценарий исправления, могли бы скопировать вкладки и нужную Вам информацию в новый профиль?
Тут проблема в том, что когда я подключаю новый профиль к своему аккаунту Google, эти вредоносные ссылки опять появляются. А удалять этот старый аккаунт и создавать новый - не вариант, хотя бы из-за старого почтового ящика, который мне нужен. Поэтому, видимо, придется жить с этими ссылками, что в принципе не критично, я надеюсь...
Спасибо большое за Вашу помощь.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Тут какая-то странная вещь. Когда я удаляю пользователя Chrome, а затем вхожу в свой Google аккаунт, вкладки, которые были открыты на момент удаления, сохраняются в истории точно в таком же виде, как эти вредоносные ссылки (см. рисунок). Это не дает ключа к тому, как эти ссылки оттуда убрать (и эти вдруг сохранившие вкладки тоже)?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Я сменил пароль аккаунта Гугл и через какое-то время ссылки на вредоносные сайты пропали. Такие дела. Как удалить оставшиеся ссылки, пока не понял.
К сожалению помочь не смогу, так как в логах не видно этих ссылок, возможно вредоносная ссылка установлена в какой-то файл настроек, но это все догадки. Без файлов профиля трудно чем-то Вам помочь, возможно оптимальный вариант создания нового профиля и перебросить вкладки и т.п. вручную.
P.S. Ранее Вы дали понять, что вариант подключения по teamviewer вас не устраивает.
Проблема была решена. Помогло: 1. смена пароля аккаунта Гугл, 2. отключение синхронизации браузера и аккаунта Гугл (для удаления моих данных с серверов Гугла) и затем повторный вход в аккаунт.
SQ, спасибо за оказанную помощь и всего Вам доброго!
[QUOTE=vsh;1391775]Проблема была решена. Помогло: 1. смена пароля аккаунта Гугл, 2. отключение синхронизации браузера и аккаунта Гугл (для удаления моих данных с серверов Гугла) и затем повторный вход в аккаунт.
SQ, спасибо за оказанную помощь и всего Вам доброго![/QUOTE]
Спасибо Вам за описание решения Вашей проблемы.
1. Для удаления утилит, которые использовались в лечении скачайте [URL="https://toolslib.net/downloads/finish/2/"]DelFix[/URL] и сохраните утилиту на [B]Рабочем столе[/B].
2. Запустите [B]DelFix[/B].
[SIZE=1][B]Важно[/B], для работы утилиты необходимо запускать от имени Администратора. По умолчанию в[B] Windows XP[/B] так и есть. В [B]Windows Vista/7/8/8.1/10[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]Да[/B][/SIZE]
3.В открывшемся окне программы поставьте галочки напротив пунктов [B]Remove desinfection tools[/B] и [B]Create registry backup[/B]
4. Нажмите на кнопку [B]Run[/B].
5. После окончания работы программы автоматически откроется блокнот с отчетом [B]delfix.txt[/B] (C:\delfix.txt)
6. Прикрепите этот отчет в вашей теме.
[URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:
[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
///
На этом всё!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\systwin.exe - [B]Trojan.Win32.Agent.nevzqe[/B][/LIST][/LIST]