Отркывает левые вкладки, всплывающие окна и прочее. только два лога, п.1 пропущен так как система 64.
Printable View
Отркывает левые вкладки, всплывающие окна и прочее. только два лога, п.1 пропущен так как система 64.
Уважаемый(ая) [B]Вероника Бабочкина[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте !!!
Выполните скрипт в AVZ:
[CODE]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\Судак\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe');
TerminateProcessByName('c:\program files (x86)\bonjoiur host controller\bhctrl32.exe');
SetServiceStart('TSSysKit', 4);
SetServiceStart('tsnethlpx64', 4);
SetServiceStart('TFsFlt', 4);
SetServiceStart('SRepairDrv', 4);
SetServiceStart('QQSysMonX64', 4);
SetServiceStart('QMUdisk', 4);
SetServiceStart('QQRepairFixSVC', 4);
StopService('TSSysKit');
StopService('tsnethlpx64');
StopService('TFsFlt');
StopService('SRepairDrv');
StopService('QQSysMonX64');
StopService('QMUdisk');
StopService('Bonjoiur Host Controller');
QuarantineFile('C:\Users\Судак\AppData\Local\Temp\yeaplayer51495.exe','');
QuarantineFile('C:\ProgramData\RenewalService\Service.exe','');
QuarantineFile('C:\Program Files (x86)\Torrent Search\emYdFg1.exe','');
QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\qcZtGKqHlUOe.dll','');
QuarantineFile('C:\ProgramData\service.exe','');
QuarantineFile('C:\Program Files (x86)\Yeaplayer\Yeaplayermd.exe','');
QuarantineFile('C:\ProgramData\msiql.exe','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQSysMonX64.sys','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairFixSVC','');
QuarantineFile('c:\users\Судак\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe','');
QuarantineFile('c:\program files (x86)\bonjoiur host controller\bhctrl32.exe','');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQSysMonX64.sys');
DeleteFile('c:\users\Судак\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe','32');
DeleteFile('C:\Program Files (x86)\Bonjoiur Host Controller\bhctrl32.exe','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairFixSVC','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv','32');
DeleteFile('C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys','32');
DeleteFile('C:\ProgramData\msiql.exe','32');
DeleteFile('C:\Program Files (x86)\Yeaplayer\Yeaplayermd.exe','32');
DeleteFile('C:\ProgramData\service.exe','32');
DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\qcZtGKqHlUOe.dll','32');
DeleteFile('C:\Program Files (x86)\Torrent Search\emYdFg1.exe','32');
DeleteFile('C:\WINDOWS\Tasks\Update Service for Torrent Search2.job','32');
DeleteFile('C:\ProgramData\RenewalService\Service.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Diagnosis\RenewalService','64');
DeleteFile('C:\Users\Судак\AppData\Local\Temp\yeaplayer51495.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\svchost','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Update Service for Torrent Search2','64');
DelBHO('{BC86E1AB-EDA5-4059-938F-CE307B0C6F0A}');
DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msiql');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yeaplayer');
DeleteService('TSSysKit');
DeleteService('tsnethlpx64');
DeleteService('TFsFlt');
DeleteService('SRepairDrv');
DeleteService('QQSysMonX64');
DeleteService('QMUdisk');
DeleteService('QQRepairFixSVC');
DeleteService('Bonjoiur Host Controller');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteRepair(21);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.[/CODE]
После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
+
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
готово
Выполните скрипт в AVZ:
[CODE]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\users\Судак\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe');
SetServiceStart('softaal', 4);
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\softaal64.sys','');
QuarantineFile('c:\users\Судак\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe','');
DeleteFile('c:\users\Судак\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\softaal64.sys','32');
DeleteService('softaal');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
+
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Готово
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
+
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
все что создалось - во вложении
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[CODE]
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-2641405392-2353449977-3497358304-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BD2DC8707-F0C2-41F7-B052-91354703F023%7D&gp=820338
BHO: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files (x86)\Torrent Search\IEEF\38w9icVLckkY.dll => No File
FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7BF8C129FC-897A-467E-BC60-42D144AC0B3E%7D&gp=820338
FF Extension: Speed Dial - C:\Users\Судак\AppData\Roaming\Mozilla\Firefox\Profiles\ci687uxo.default\extensions\{64161300-e22b-11db-8314-0800200c9a66}.xpi [2015-09-14]
FF HKU\S-1-5-21-2641405392-2353449977-3497358304-1000\...\Firefox\Extensions: [[email protected]] - C:\Users\Судак\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
CHR Extension: (Google*Документы офлайн) - C:\Users\Судак\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-15]
CHR Extension: (Speed Dial 2) - C:\Users\Судак\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfpebmajhhopeonhlcgidhclcccjcik [2016-03-10]
OPR Extension: (No Name) - C:\Users\Судак\AppData\Roaming\Opera Software\Opera Stable\Extensions\mlepmakjdoedngidjlanekmdkllganmg [2016-04-26]
2016-04-26 11:52 - 2016-04-26 11:51 - 00132344 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
2016-04-26 11:52 - 2016-04-25 17:47 - 01266688 _____ C:\Users\Все пользователи\conhost51495.exe
2016-04-26 11:52 - 2016-04-25 17:47 - 01266688 _____ C:\ProgramData\conhost51495.exe
2016-04-26 11:51 - 2016-04-26 11:51 - 00000000 ____D C:\Users\Судак\AppData\Local\Yeaplayer
2016-04-26 11:51 - 2016-04-21 11:54 - 01745920 _____ C:\Users\Судак\AppData\Roaming\service.exe
2016-04-26 11:51 - 2016-04-21 06:03 - 02496403 _____ ( ) C:\Users\Судак\AppData\Roaming\yeaplayer_51495.exe
2016-04-26 11:50 - 2016-04-26 22:59 - 00000000 ____D C:\Users\Все пользователи\RenewalService
2016-04-26 11:50 - 2016-04-26 22:59 - 00000000 ____D C:\ProgramData\RenewalService
2016-04-26 11:51 - 2016-04-21 11:54 - 1745920 _____ () C:\Users\Судак\AppData\Roaming\service.exe
2016-04-26 11:51 - 2016-04-21 06:03 - 2496403 _____ ( ) C:\Users\Судак\AppData\Roaming\yeaplayer_51495.exe
2016-04-26 11:52 - 2016-04-25 17:47 - 1266688 _____ () C:\ProgramData\conhost51495.exe
Task: {62DB7FD8-9F7A-41F1-8B12-0E36B720800A} - \svchost -> No File <==== ATTENTION
Task: {EFAE72C3-BF49-499D-A385-2237D74C19F0} - \Microsoft\Windows\Diagnosis\RenewalService -> No File <==== ATTENTION
Task: {F2A18E85-AD1C-49AB-AA70-A3AB9FFE36D4} - \FileSystemDriver -> No File <==== ATTENTION
EmptyTemp:
Reboot:
[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
создалось
- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"][B]ScanVuln.txt[/B][/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Что с проблемой ?
AVZ пишет что частые уязвимости не обнаружены, скрипт выполнен без ошибок и не создает лог файл.
[quote="Вероника Бабочкина;1378314"]AVZ пишет что частые уязвимости не обнаружены, скрипт выполнен без ошибок и не создает лог файл.[/quote]
Хорошо.
[quote="Вероника Бабочкина;1378203"]Открытие сторонних вкладок с рекламой в Firefox и Chrome. [Trojan-Downloader.Win32.Agent.wtzwg
][/quote]
Что с этой проблемой ?
за ночь не было замечено. понаблюдаю днем и отпишусь
[quote="Вероника Бабочкина;1378320"]за ночь не было замечено. понаблюдаю днем и отпишусь[/quote]
Хорошо. Жду Вашего сообщения. По результатам ответа примем решение о продолжении лечения или закрытия темы.
вот только что вылезло в нижнем правом углу, как на скрине. если нажать на шестеренку настроек то вылезет как на скрине 2
1) Адрес сайта на котором вылезло это чудо, укажите в следующем сообщении.
2) В каком браузере появилась эта реклама ?
3) [URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL], если вложение не уместится на сайте virusinfo, "залейте" образ автозапуска на [url]http://rghost.ru/[/url], ссылку с результатом загрузки опубликуйте в следующем сообщении.
1. при запуске
2. Chrome по всей видимости так как кнопка настроек к нему ведет
3. [url]http://rghost.ru/67lPrSfch[/url]
Сайт, примеры сайтов где Вы находите рекламу, Вы так и не указали .... (ссылки на страницу(ы)).
Ничего вредоносного в логах не видно.
Запустите Google Chrome, в адресной строке введите:
[CODE]chrome://extensions/[/CODE]
, Вы автоматически перейдете в меню Расширения, отключайте поочерёдно, по одному каждое расширение и обновляйте страницу на которой вылезает реклама (можно нажатием на клавишу F5). Сообщите после отключения какого из расширений проблема устранилась. Расширения которые не вызывали проблему можете включить обратно.
нету сайтов. открываю Хром - показывает рекламу, перегружаю комп, открываю хром - нет рекламы. проходит 2 часа - вылазит реклама. при этом открыта только одна вкладка GMAIL. Расширение стоит одно - Документы Google
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=Вероника Бабочкина;1378542]нету сайтов. открываю Хром - показывает рекламу, перегружаю комп, открываю хром - нет рекламы. проходит 2 часа - вылазит реклама. при этом открыта только одна вкладка GMAIL. Расширение стоит одно - Документы Google[/QUOTE]
вот 9 часов прошло и ничего. а до этого за час было дважды. попытаюсь отследить куда идет заход в этот момент