Вредоносный сайт efrodom.ru пытается установить связь с моим ноутом

**Mistralia** · 28.11.2017, 18:57

Здравствуйте!
Три недели назад поймала на свой ноутбук кучу вирусов, которые тут же удалила с помощью Касперского. Однако один вирус (efrodom.ru, который так же появляется под именем eltugno.ru) остался, и антивирусник его не может обнаружить, но реагирует на его активность - попытку подключиться к моему ноуту. Прилагаю лог сканирования согласно вашей инструкции и, на всякий случай, принтскрин окна Касперского с сообщениями о попытке подключения к опасному сайту.
Вирус очень надоедливый - постоянно обрубает мне интернет, а с сегодняшего дня не пускает в google и gmail!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.11.2017, 18:59

Уважаемый(ая) Mistralia, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 02.12.2017, 15:33

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O17 - HKLM\System\CSS\Services\Tcpip\..\{efb7900c-018e-43ea-badf-1ab31be26598}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{efb7900c-018e-43ea-badf-1ab31be26598}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{efb7900c-018e-43ea-badf-1ab31be26598}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{efb7900c-018e-43ea-badf-1ab31be26598}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{efb7900c-018e-43ea-badf-1ab31be26598}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{efb7900c-018e-43ea-badf-1ab31be26598}: NameServer = 82.202.226.203

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\Users\TATJANA\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe');
 StopService('wfcre');
 QuarantineFile('C:\Users\TATJANA\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe', '');
 QuarantineFile('C:\Users\TATJANA\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\TATJANA\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\wfcre.sys', '');
 DeleteFile('C:\Users\TATJANA\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe', '32');
 DeleteFile('C:\Users\TATJANA\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\TATJANA\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFile('C:\Users\TATJANA\Favorites\Links\Интернет.url', '32');
 DeleteFile('C:\WINDOWS\system32\drivers\wfcre.sys', '32');
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "App Explorer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 DeleteService('wfcre');
 DeleteFileMask('c:\users\tatjana\appdata\local\host app service', '*', true);
 DeleteFileMask('c:\users\tatjana\appdata\roaming\curl', '*', true);
 DeleteDirectory('c:\users\tatjana\appdata\local\host app service');
 DeleteDirectory('c:\users\tatjana\appdata\roaming\curl');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\TATJANA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk"   -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> --profile-directory="Profile 1"]

Отчёт о работе прикрепите.

Сделайте новый лог Autologger.

Сделайте лог Malwarebytes AdwCleaner.

**Mistralia** · 09.12.2017, 01:34

Здравствуйте!
Спасибо за помощь, отправляю Вам карантин и запрошенные логи!

**Vvvyg** · 09.12.2017, 12:29

Запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить"

Код:

>>>  "C:\Users\TATJANA\Favorites\Links\Интернет.url"  ->              hxxp://tizmo.ru/?utm_source=favorites03&utm_content=aea8d3344cf60282e12da408b8f78494&utm_term=E201FEB1096B26F7E980B8E94BF2A6B8&utm_d=20171110

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**Mistralia** · 09.12.2017, 21:46

Спасибо за помощь, все сделала согласно инструкциям, высылаю логи.
Пока не замечаю ничего подозрительного, если возникнут проблемы, сообщу.

**CyberHelper** · 09.12.2017, 21:56

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения вредоносные программы в карантинах не обнаружены

Вредоносный сайт efrodom.ru пытается установить связь с моим ноутом (заявка № 216496)

Опции темы