Собственно проблема указана в теме. Устанавливал тор браузер и мне насыпало кучу мэйловских приложений, а в придачу еще и постоянное открытие вкладки с рекламой.
Printable View
Собственно проблема указана в теме. Устанавливал тор браузер и мне насыпало кучу мэйловских приложений, а в придачу еще и постоянное открытие вкладки с рекламой.
Уважаемый(ая) [B]AlexRo[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скачайте актуальную версию AutoLogger-а и переделайте логи.
Скачал здесь [url]http://virusinfo.info/content.php?r=136-pravila[/url] перед тем как писать сообщение.
Эта версия устарела ещё две назад. Впишите в Yandex или Гугл [QUOTE]AutoLogger [regist & Drongo][/QUOTE]первые два сверху сайта там актуальная версия.
+ Первые логи надо собирать без Shift.
Прикрепил.
Здравствуйте!
[CODE]C:\Users\Alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CineFormActiveMetadataStatusViewer.exe[/CODE]
Этот файл вам знаком?
[CODE][B]Skype Click to Call[/B] [20161022]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}
[/CODE] - советую деинсталировать.
- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CineFormActiveMetadataStatusViewer.exe', '');
QuarantineFile('E:\autorun.inf', '');
ExecuteFile('schtasks.exe', '/delete /TN "InternetEB" /F', 0, 15000, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Добрый день!
[QUOTE]Этот файл вам знаком?[/QUOTE]
это кодеки или что-то в этом роде от компании gopro.
[QUOTE]- советую деинсталировать.[/QUOTE]
Сам скайп удалил полностью, а вот то что вы указали в программах и компонентах отсутствовало.
[QUOTE]- Проведите эту процедуру.[/QUOTE]
Ссылка на результаты анализа [url]http://virusinfo.info/virusdetector/report.php?md5=2D373438663D2B1C1FDDC8468B92CD8B[/url]
Программа отказалась обновляться, выдает ошибку загрузки файла обновлений.
[QUOTE]Выполните скрипт в АВЗ[/QUOTE]
[QUOTE]Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.[/QUOTE]
Загрузил.
[QUOTE]- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.[/QUOTE]
Прикрепил
Отчеты по Farbar Recovery Scan Tool прикрепил.
[quote="AlexRo;1421378"]это кодеки или что-то в этом роде от компании gopro.[/quote] Зачем этот исполняемый файл в стартовом меню? Нормальные (легальные) программы так обычно не делают. Вы его туда положили?
Логи позже посмотрю.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[CODE]CHR Profile: C:\Users\Alex\AppData\Local\Google\Chrome\User Data\backup Default [2016-10-06]
CHR Extension: (Docs) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\backup Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-10-06]
CHR Extension: (Диск Google) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\backup Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-10-06]
CHR Extension: (YouTube) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\backup Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-10-06]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\backup Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-10-06]
CHR Extension: (Gmail) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\backup Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-10-06]
CHR Extension: (Chrome Media Router) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\backup Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-10-06]
CHR Profile: C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default [2016-12-21]
CHR Extension: (Google Презентации) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-10-06]
CHR Extension: (Документы Google) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-10-06]
CHR Extension: (Диск Google) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-10-06]
CHR Extension: (YouTube) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-10-06]
CHR Extension: ([B]Social Blade[/B]) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfidkbgamfhdgmedldkagjopnbobdmdn [2016-12-21]
CHR Extension: ([B]VKStats[/B]) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\ebifhjjhgljalmjmnonafaihefgehmfc [2016-10-06]
CHR Extension: (Gmail Офлайн) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejidjjhkpiempkbhmpbfngldlkglhimk [2016-10-06]
CHR Extension: ([B]di[/B]) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\epcicoplhmmefcohmiaampoelcmapooj [2016-10-06]
CHR Extension: (Google Таблицы) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-10-06]
CHR Extension: ([B]Full Screen Weather[/B]) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\fkkaebihfmbofclegkcfkkemepfehibg [2016-10-06]
CHR Extension: (Google*Документы офлайн) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-10-06]
CHR Extension: ([B]AdBlock[/B]) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-12-21]
CHR Extension: ([B]Сохранение аудио и голосовых сообщений ВК[/B]) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibigepanpbilkpapapplaicdkhjemlhb [2016-12-21]
CHR Extension: (Google Mail Checker) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\mihcahmgecmbnbcchbopgniflfhgnkff [2016-10-06]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-10-06]
CHR Extension: ([B]Сокращатель ссылок VK.cc[/B]) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\nnfphhchbmhilfllffingfchjhfaagcg [2016-10-06]
CHR Extension: (Gmail) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-10-06]
CHR Extension: (Chrome Media Router) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-12-14]
CHR Profile: C:\Users\Alex\AppData\Local\Google\Chrome\User Data\System Profile [2016-10-06][/CODE]
Эти расширения все вам знакомы?
Закройте все программы, [url=http://virusinfo.info/showthread.php?t=130828][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ClearQuarantine;
QuarantineFile('C:\Users\Alex\Links\RecentPlaces.lnk', '');
QuarantineFile('C:\Users\Alex\AppData\Roaming\Microsoft\Windows\Start Menu\чTorrent.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dropbox\Dropbox Website.URL', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[code]start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=821589"
2016-10-02 01:19 - 2016-10-02 01:19 - 0000016 _____ () C:\ProgramData\mntemp
ph (x32 Version: 1.0.0 - Your Company Name) Hidden
EmptyTemp:
Reboot:
end[/code]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
После этого деинсталируйте ph.
Если Unity Web Player сами не ставили, то тоже.
[QUOTE]Зачем этот исполняемый файл в стартовом меню? Нормальные (легальные) программы так обычно не делают. Вы его туда положили?[/QUOTE]
Не обратил внимание что это исполняемый файл. Такого действительно не должно быть.
[QUOTE]Эти расширения все вам знакомы?[/QUOTE]
Не помню чтобы устанавливал вот это [QUOTE]Full Screen Weather[/QUOTE] [QUOTE]Chrome Media Router[/QUOTE]
[QUOTE]Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.[/QUOTE]
Отправил.
[QUOTE]Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/QUOTE]
Прикрепил.
[QUOTE]После этого деинсталируйте ph.
Если Unity Web Player сами не ставили, то тоже.[/QUOTE]
Как удалить этот ph? В программах и компонентах его нет.
Юнити плеер удалил.
[quote="AlexRo;1421666"]Такого действительно не должно быть.[/quote]
Значит удаляем?
[quote="AlexRo;1421666"]Как удалить этот ph? В программах и компонентах его нет.
Юнити плеер удалил.[/quote]
папку C:\FRST удалите.
После этого сделайте свежие логи FRST.
[QUOTE]Значит удаляем?[/QUOTE]
Без раздумий!
[QUOTE]После этого сделайте свежие логи FRST.[/QUOTE]
Пожалуйста, напомните как и что отправить.
Кстати, реклама перестала вылазить уже сравнительно давно:)
[quote="AlexRo;1421882"]Пожалуйста, напомните как и что отправить.[/quote]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Готово!
[quote="AlexRo;1421666"]Как удалить этот ph? В программах и компонентах его нет.[/quote]
Вы до выполнения скрипта смотрели или после? На данный момент оно должно там отображаться.
[CODE][B]ph[/B] (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name)
[/CODE]
+
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[code]start
CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=821589"
CHR Extension: (Full Screen Weather) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\fkkaebihfmbofclegkcfkkemepfehibg [2016-10-06]
2016-12-19 11:52 - 2016-12-22 15:52 - 00000000 ____D C:\Users\Alex\AppData\LocalLow\Unity
2016-12-19 11:52 - 2016-12-22 15:52 - 00000000 ____D C:\Users\Alex\AppData\Local\Unity
ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name)
Skype Click to Call (HKLM-x32\...\{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}) (Version: 8.5.0.9167 - Microsoft Corporation)
HKU\S-1-5-21-2541003639-1809886671-432029000-1000\...\StartupApproved\StartupFolder: => "CineFormActiveMetadataStatusViewer.exe"
EmptyTemp:
Reboot:
end[/code]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сделано!
для контроля сделайте [url=http://rgho.st/7kVstP4Qr]сделайте лог HiJackThis 2.0.6 Alpha 3.0[/url]
[ATTACH=CONFIG]650894[/ATTACH]
Ложное срабатывание, качайте другим браузером.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
в смысле согласен, что на туда многие и вирусы загружают, но этот файл чист.
Не найду как освободить место для вложений. Пишет переполнено.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Нашел.
Порядок.
папку C:\FRST удалите.
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
[QUOTE]После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt [/QUOTE]
Что-то лога не обнаружил. AVZ написал что скрипт выполнился без ошибок.
Обновлю указанные вами программы с оф. сайтов.
Огромное спасибо вам за вашу работу. Где можно оставить положительный отзыв о вас?
[quote="AlexRo;1422690"]Где можно оставить положительный отзыв о вас?[/quote]
У меня в подписи есть ссылка [QUOTE]Отзывы пользователей[/QUOTE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]