периодически вылазит окно Касперского с угрозой Trojan.Multi.DNSChanger.a в System Memory
лечение с перезагрузкой не решает проблемы.
до этого появлялись и другие угрозы.
Касперский лицензионный, обновляется регулярно, полная проверка не помогает.
периодически вылазит окно Касперского с угрозой Trojan.Multi.DNSChanger.a в System Memory
лечение с перезагрузкой не решает проблемы.
до этого появлялись и другие угрозы.
Касперский лицензионный, обновляется регулярно, полная проверка не помогает.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Vampirebat, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe', '32'); DeleteFile('C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll', '32'); DeleteFile('C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe', '32'); DeleteFile('C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe', '32'); DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\AvMHi_8X5g.dll', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\Users\E786~1\AppData\Roaming\curl\curl.exe', '32'); DeleteFile('C:\Users\Дом\AppData\Roaming\MyDesktop\qweeeCL.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "space(title, t_delayed)" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "space(title, t_monitor)" /F', 0, 15000, true); DeleteFileMask('c:\program files (x86)\baidu', '*', true); DeleteFileMask('c:\program files (x86)\mail.ru', '*', true); DeleteFileMask('c:\program files (x86)\onesystemcare', '*', true); DeleteFileMask('c:\program files (x86)\torrent search', '*', true); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteFileMask('c:\users\e786~1\appdata\roaming\curl', '*', true); DeleteFileMask('c:\users\дом\appdata\roaming\mydesktop', '*', true); DeleteDirectory('c:\program files (x86)\baidu'); DeleteDirectory('c:\program files (x86)\mail.ru'); DeleteDirectory('c:\program files (x86)\onesystemcare'); DeleteDirectory('c:\program files (x86)\torrent search'); DeleteDirectory('c:\program files (x86)\zaxar'); DeleteDirectory('c:\users\e786~1\appdata\roaming\curl'); DeleteDirectory('c:\users\дом\appdata\roaming\mydesktop'); DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}'); DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}'); DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MyDesktop'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(false); end.
Удалите непонятного происхождения AdwCleaner, версия 7.0.5.0 - это portable и только программа.
Сделайте лог Malwarebytes AdwCleaner.
WBR,
Vadim
AdwCleaner, версия 7.0.5.0 - это я в декабре 2017 скачивал, пытался чистить всплывающие сообщения о троянах, вроде на какое то время помогло...Сообщение от Vvvyg
лог с AdwCleaner 7.1.0.0 прилагаю.
Проблема актуальна?
Базы KIS обновлены?
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
сообщение про вирус больше не вылазит, даже комп "ожил" быстрее загружается и быстрее программы запускаются, меньше тормозит. что-то еще посоветуете?
в приложении логи FRST
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: BHO: Torrent Search -> {05EB6920-D8AD-4350-BEF1-4F7107F70431} -> C:\Program Files (x86)\Torrent Search\Toolbar64.dll => No File Toolbar: HKU\S-1-5-21-3741954958-2870164438-2109557022-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Extension: (No Name) - C:\Users\Дом\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-03-29] [not signed] FF Extension: (No Name) - C:\Users\Дом\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2017-03-29] [not signed] FF Extension: (supermegabest) - C:\Users\Дом\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\[email protected] [2016-03-23] [Legacy] FF Extension: (No Name) - C:\Users\Дом\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-03-29] [not signed] FF Extension: (No Name) - C:\Users\Дом\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2017-03-29] [not signed] CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib CHR HKU\S-1-5-21-3741954958-2870164438-2109557022-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3741954958-2870164438-2109557022-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx S1 uzcxmjq4; C:\Windows\SysWOW64\Drivers\uzcxmjq4.sys [11264 2014-02-09] () [File not signed] 2018-04-12 21:42 - 2015-12-05 10:03 - 000000000 ____D C:\ProgramData\IObit 2018-04-12 21:42 - 2015-10-27 10:04 - 000000000 ____D C:\Users\Дом\AppData\Roaming\IObit 2018-04-12 21:42 - 2014-04-25 07:30 - 000000000 ____D C:\AdwCleaner Task: {117F0E61-FB97-42EA-9BF5-3E980A4FEEA9} - \curl -> No File <==== ATTENTION Task: {1AF5EDE9-A473-4994-B8DE-C4C985AD1674} - \{08780447-0F08-0A78-0911-0F7D097E117F} -> No File <==== ATTENTION Task: {2F76EA81-A5D4-4032-A1F0-6E8F8DE1A518} - \packagest -> No File <==== ATTENTION Task: {66363398-7E49-42D6-B7B9-F1131E7122FB} - \setupsk_upd -> No File <==== ATTENTION Task: {AC638AF6-190D-4E3E-B3FE-DEB81AECE925} - \ifgker -> No File <==== ATTENTION MSCONFIG\startupreg: baidu => MSCONFIG\startupreg: ZaxarLoader => FirewallRules: [{858C7BAB-0CD9-4EF4-B6A1-D8B924203371}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe FirewallRules: [{9245BB89-63AC-4263-82F5-5EC9F8A254FD}] => (Allow) C:\Program Files (x86)\Mail.Ru\Sputnik\SputnikFlashPlayer.exe FirewallRules: [{FF535679-16EF-4814-BBC0-8611A5E86893}] => (Allow) C:\Users\Дом\AppData\Local\Temp\is-A013Q.tmp\thorn_setup.tmp FirewallRules: [{E218D9DB-715C-4336-BD7F-E021488B1913}] => (Allow) C:\Users\Дом\AppData\Local\Temp\is-A013Q.tmp\thorn_setup.tmp FirewallRules: [{BAC431DB-8D02-45A1-A374-F4B6FBF8A95E}] => (Allow) 㩃啜敳獲쑜䅜灰慄慴剜慯業杮獜湳獜湳攮數 FirewallRules: [{BE499B8E-2215-421D-A073-2AA5764D96B0}] => (Allow) 㩃啜敳獲쑜䅜灰慄慴剜慯業杮獜湳獜癡略硥e Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Vampirebat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
