Добрый вечер, выскакивает казино вулкан, танки. Логи прилагаю.
Printable View
Добрый вечер, выскакивает казино вулкан, танки. Логи прилагаю.
Уважаемый(ая) [B]HalD2n[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
QuarantineFile('C:\Windows\system32\themctrl.dll', '');
QuarantineFile('C:\Windows\system32\wbiosrvp.dll', '');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
DeleteFile('C:\Windows\system32\wbiosrvp.dll');
DeleteFile('C:\Windows\system32\themctrl.dll');
DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
DeleteDirectory('c:\program files (x86)\zaxar');
DelBHO('{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}');
DelBHO('{D5FEC983-01DB-414A-9456-AF95AC9ED7B5}');
DelBHO('{DBC80044-A445-435b-BC74-9C25C1C588A9}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zaxar');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis из папки ..\AutoLogger\HiJackThis
[CODE]O2-32 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKCU\..\Run: [Zaxar] C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (file missing)
O9 - Extra button: Skype Click to Call settings - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll (file missing) (HKLM)
O9-32 - Extra button: Skype Click to Call settings - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing) (HKLM)
O17 - HKLM\System\CSS\Services\Tcpip\..\{5D10D1DD-1B41-41F2-AC16-51025D327571}: NameServer = 98.158.96.96
O17 - HKLM\System\CSS\Services\Tcpip\..\{7FEBBCBC-2883-411F-8C0E-968F80609E36}: NameServer = 98.158.96.96
O17 - HKLM\System\CSS\Services\Tcpip\..\{88AF6522-2DEC-475E-A8A7-B3976A2B1BDB}: NameServer = 98.158.96.96
O17 - HKLM\System\CSS\Services\Tcpip\..\{9A52DC3C-D6C9-446D-AC33-50DCE30025C6}: NameServer = 98.158.96.96
O17 - HKLM\System\CSS\Services\Tcpip\..\{ADC42386-F5CC-43FA-B706-A7EF0BD010FD}: NameServer = 98.158.96.96
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{5D10D1DD-1B41-41F2-AC16-51025D327571}: NameServer = 98.158.96.96
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{7FEBBCBC-2883-411F-8C0E-968F80609E36}: NameServer = 98.158.96.96
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{88AF6522-2DEC-475E-A8A7-B3976A2B1BDB}: NameServer = 98.158.96.96
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9A52DC3C-D6C9-446D-AC33-50DCE30025C6}: NameServer = 98.158.96.96
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{ADC42386-F5CC-43FA-B706-A7EF0BD010FD}: NameServer = 98.158.96.96
O22 - Task (Ready): ASUS USB Charger Plus - C:\Program Files (x86)\ASUS\USBChargerPlus\USBChargerPlus.exe (file missing)
O22 - Task (Ready): Opera scheduled Autoupdate 1419097137 - C:\Program Files (x86)\Opera\launcher.exe --scheduledautoupdate (file missing)
O22 - Task (Ready): Opera scheduled Autoupdate 1439311485 - C:\Program Files (x86)\Opera\launcher.exe --scheduledautoupdate (file missing)
O22 - Task (Ready): \Apple\AppleSoftwareUpdate - C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe -task (file missing)
[/CODE]
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url]. Для [u]повторной[/u] диагностики запустите снова Autologger.
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/finish/1/"]AdwCleaner[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
1. Скопируйте папку на рабочий стол:
[quote]
C:\Windows\system32\tasks\
[/quote]
Заархивируйте и прикрепите к сообщению.
2. Нажмите Win + R, введите regedit
нажмите ОК, перейдите к этой ветке:
[quote]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule
[/quote]
нажмите по ней правой кнопкой мыши -> экспортировать.
Сохраните на рабочий стол, заархивируйте и тоже прикрепите к сообщению.
делал по инструкции, вкладки все еще выскакивают(
[url]https://virusinfo.info/virusdetector/report.php?md5=3DA39652AE9AFBC9D5C166CCA4FE0C65[/url]
посмотрите логи, пожалуйста
[CODE][B]Unity Web Player [/B][2016/08/09 21:27:22]-->C:\Users\N56\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
[B]Uplay[/B] [2016/11/20 16:27:15]-->C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uninstall.exe
[/CODE]Если сами не ставили, то деинсталируйте.
- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/finish/1/"]AdwCleaner[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
сделал
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]).[*]В меню [b]Tools[/b] ->[b]Options [/b] ([b]Инструменты[/b] ->[b]Настройки[/b]) отметьте:
[list][*]Сброс политик IE[*]Сброс политик Chrome[/list][*]Нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончанию сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
готово, почитал сам отчет, барахла удалено прилично)
но выскакивает всё равно(
Проблема решена?
к сожалению, нет(
Тогда опишите подробней, какие проблемы остались.
продолжает выскакивать мусор в браузере.
[quote="regist;1442240"]опишите [B]подробней[/B][/quote]
ключевое слово выделил.
для чистоты эксперимента перезагрузил компьютер, запустил хром, работал ютуб, единственная вкладка в браузере, через 15-20 минут выскочила реклама вулкана в новой вкладке
и еще. весьма подозрительно, что в диспетчере задач при одной открытой вкладке висит аж 6 штук процессов chrome.exe
сделал новые логи автологгером. в файле log.txt из архива, в списке процессов, как раз подобное количество процессов хрома с очень длинными дополнительны ключами
[quote="HalD2n;1442308"]и еще. весьма подозрительно, что в диспетчере задач при одной открытой вкладке висит аж 6 штук процессов chrome.exe[/quote]
Для Хрома и остальных хромых браузеров это нормально.
Отключите все расширения в браузере и проверяйте проблему.
из расширений только adblock и frigate, отключение не помогло, с интервалом 10-15 минут открывается новая вкладка с рекламным мусором в браузере.
[URL="http://www.opera-usb.com/ru/"]скачайте отсюда Оперу[/URL] и проверьте проблему в ней.
оперу по ссылке скачал, оставил открытой на полчаса, в ней ничего не выскочило, в хроме всё равно лезет гадость
[quote="HalD2n;1442546"]из расширений только adblock и frigate, отключение не помогло[/quote]
удалите их полностью.
удалил, перезагрузил компьютер, в запущенном браузере всё равно выскочил спам через 15 минут
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
готово
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[code]start
CreateRestorePoint:
Toolbar: HKU\S-1-5-21-2988410730-1030615967-558449075-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-2988410730-1030615967-558449075-1001 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File
Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll No File
FF user.js: detected! => C:\Users\N56\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2015-01-31]
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=818409
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B383541C4-4077-4199-8EC2-34AAEF6B5756%7D&gp=811041
FF Extension: (Поиск@Mail.Ru) - C:\Users\N56\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-12-27]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\N56\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-27]
FF Plugin: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelogx64.dll [No File]
FF Plugin-x32: @Apple.com/iTunes,version=1.0 -> C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll [No File]
FF Plugin-x32: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelog.dll [No File]
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.5 -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll [No File]
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll [No File]
FF Plugin-x32: @java.com/DTPlugin,version=10.67.2 -> C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll [No File]
FF Plugin-x32: @java.com/JavaPlugin,version=10.67.2 -> C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll [No File]
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files (x86)\Microsoft Office\Office14\NPSPWRAP.DLL [No File]
FF Plugin-x32: @WildTangent.com/GamesAppPresenceDetector,Version=1.0 -> C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll [No File]
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [No File]
CustomCLSID: HKU\S-1-5-21-2988410730-1030615967-558449075-1001_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath
Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> No File <==== ATTENTION
Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> No File <==== ATTENTION
Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> No File <==== ATTENTION
Task: {A9DCBBE4-CF19-405E-B140-5A073FCF53AF} - System32\Tasks\find-mans => Chrome.exe hxxp://find-mans.com/blamem
Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> No File <==== ATTENTION
Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end[/code]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
готово. мусора пока нет, с утра еще раз отпишусь
upd. наконец-то все в порядке. зловреды изгнаны. большое спасибо.
папку C:\FRST удалите.
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
сделал, большое спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]