Помогите с Trojan.JS.Small.ci

**12345serj** · 16.03.2017, 22:30

Здравствуйте уважаемые,помогите с гадостью,Каспер опреджеляет ее как Trojan.JS.Small.ci
и постоянно появляются сообщения типа Загрузка запрещена;http://fttlppchpjxv.ru/pjs/14945.js;...14945.js;Opera Internet Browser;Троянская программа

Обнаружен объект (файл);[://fttlppchpjxv.ru/pjs/14945.js;Trojan.JS.Small.ci;http://fttlppchpjxv.ru/pjs/14945.js;Opera[/url] Internet Browser;Троянская программа;

Загрузка запрещена;http://66s9dhjq2ker.ru/pjs/14945.js;...14945.js;Opera Internet Browser;Троянская программа

Заблокирован переход по вредоносной ссылке

Антивирусы в общем беспомощны,посоветуйте с чего начать
Спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.03.2017, 22:32

Уважаемый(ая) 12345serj, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 17.03.2017, 07:06

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('schtasks.exe', '/delete /TN "MdmUpdateTaskMachineCore" /F', 0, 15000, true);
 DeleteFile('C:\Users\Сергей\AppData\Roaming\Wargaming.net\Caches\mdm', '32');
 DeleteFileMask('c:\users\сергей\appdata\local\amigo', '*', true);
 DeleteDirectory('c:\users\сергей\appdata\local\amigo');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**12345serj** · 17.03.2017, 16:48

вот,посмотрите пожалуйста

**Vvvyg** · 17.03.2017, 20:51

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\ProgramData\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\ProgramData\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\ProgramData\MEGAsync\ShellExtX64.dll -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\ProgramData\MEGAsync\ShellExtX32.dll -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\ProgramData\MEGAsync\ShellExtX32.dll -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\ProgramData\MEGAsync\ShellExtX32.dll -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-2327260124-1376724575-1257337120-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B6885F18C-4C24-4746-8889-054D98E21079%7D&gp=831103
CHR HomePage: Default -> hxxps://mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=831105" 
CHR NewTab: Default -> "chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BF02D691B-4103-410B-ACB9-3E526B9BACD4%7D&gp=831106
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (No Name) - C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\fcfenmboojpjinhpgggodefccipikbpd [2016-10-24]
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKU\S-1-5-21-2327260124-1376724575-1257337120-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CustomCLSID: HKU\S-1-5-21-2327260124-1376724575-1257337120-1002_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Сергей\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => No File
Task: {04DCF083-5584-4315-A09F-63DC469E6848} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-01-27] (AVAST Software)
Task: {19EBF2EC-74BE-4087-BF87-DDBCCB02CE28} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {254F9474-830F-4A33-B08A-2B4CF70C1228} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {25CCC0E1-274F-4D23-AB20-F6EABE8F0B70} - \WPD\SqmUpload_S-1-5-21-2327260124-1376724575-1257337120-1002 -> No File <==== ATTENTION
Task: {282107AE-A279-4E26-BDBB-AE4D49A07427} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {301901A9-B2F7-4620-94CC-B6E46DC0CFCF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {43B99DE9-9549-46B7-81F1-38645DCFC718} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {6086B3EF-46A8-4C21-BFD3-C4CC530DD051} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {7A885DE7-E0F2-4EB8-A236-FB60740C2761} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {7D70A592-B551-4427-A6C7-8124542B83E0} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {9B40C4CA-FFA0-4C47-A0D3-4418F248724F} - System32\Tasks\avastBCLRestartS-1-5-21-2327260124-1376724575-1257337120-1002 => Chrome.exe 
Task: {A0BF6AEE-2F05-4D8E-A1F0-638D8EB243C8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {A8EEEACC-3EBE-4BAE-A28E-4105C052BDE6} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe 
Task: {C156458C-4120-4DE8-8E9F-17690810B37C} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {C92BAEDD-2E14-48DE-A23D-2BA8A2BD74D1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {EA95114E-992D-49D5-AFAF-AE3AE8D481FA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {F44772ED-9756-49DB-A206-7ECF7CC61418} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe 
Task: {FB76D410-4044-4AE9-B76E-2753C740D849} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\ВКонтакте.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Мини-игры Mail.Ru.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Мой Мир.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Одноклассники.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Почта Mail.Ru.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\ВКонтакте.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ВКонтакте.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk
C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
FirewallRules: [{F8A1184D-0B3B-4019-8F8F-5384B76F3C63}] => (Allow) C:\Program Files\UBar\ubar.exe
OPR Extension: (SaveFrom.net помощник) - C:\Users\Сергей\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2017-03-07]
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте чистку куки/кэша в Opera: Настройки -> Безопасность -> Очистить историю посещений. Поставьте галочки "Файлы сookie и прочие данные сайтов", "Кэшированные изображения и файлы" и выберите "Уничтожить указанные элементы за следующий период:" "За последнюю неделю".

Если не поможет - отключите все расширения в Opera, если пропадёт реклама - подключайте по одному, проверяйте эффект.
Сообщите результат.

**12345serj** · 17.03.2017, 22:08

вот

**Vvvyg** · 18.03.2017, 10:52

Что с проблемой?

**12345serj** · 18.03.2017, 19:58

Вроде все в порядке,спасибо огромное
Буду наблюдать

**CyberHelper** · 18.03.2017, 20:08

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 6
В ходе лечения вредоносные программы в карантинах не обнаружены

Помогите с Trojan.JS.Small.ci (заявка № 210302)

Опции темы