Здравствуйте! стали сами по себе появятся ярлыки mail,odnokassniki.vk. Появилась панель комета! Поменялся стандартный поисковик googl на mail.ru! Все попытки по меня обратно, напрасны. Помогите вылечить!!! заранее спасибо!
Здравствуйте! стали сами по себе появятся ярлыки mail,odnokassniki.vk. Появилась панель комета! Поменялся стандартный поисковик googl на mail.ru! Все попытки по меня обратно, напрасны. Помогите вылечить!!! заранее спасибо!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) given, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\users\admin\appdata\local\kometa\kometaup.exe'); TerminateProcessByName('c:\users\admin\appdata\local\kometa\panel\kometalaunchpanel.exe'); TerminateProcessByName('c:\users\admin\appdata\local\kometa\application\kometa.exe'); QuarantineFile('C:\Users\Admin\appdata\local\systemdir\nethost.exe', ''); QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe', ''); QuarantineFile('C:\Users\Admin\AppData\Local\Temp\ptx96Wjhn1Zt.exe', ''); QuarantineFile('C:\Users\Admin\AppData\Local\Temp\gCPpHttpvtHI.exe', ''); QuarantineFile('C:\Users\Admin\AppData\Local\Temp\NET98C~1.EXE', ''); QuarantineFile('c:\users\admin\appdata\local\kometa\kometaup.exe', ''); QuarantineFile('c:\users\admin\appdata\local\kometa\panel\kometalaunchpanel.exe', ''); QuarantineFile('c:\users\admin\appdata\local\kometa\application\kometa.exe', ''); DeleteFile('C:\Users\Admin\AppData\Local\Kometa\Application\39.0.2171.95\chrome.dll', '32'); DeleteFile('C:\Users\Admin\AppData\Local\Amigo\Application\amigo.exe', '32'); DeleteFile('C:\Users\Admin\AppData\Local\Amigo\Application\ok.exe', '32'); DeleteFile('C:\Users\Admin\AppData\Local\Amigo\Application\vk.exe', '32'); DeleteFile('C:\Users\Admin\AppData\Local\Kometa\Application\kometa.exe', '32'); DeleteFile('C:\Users\Admin\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe', '32'); DeleteFile('C:\Users\Admin\AppData\Local\Kometa\kometaup.exe', '32'); DeleteFile('C:\Users\Admin\AppData\Local\Temp\NET98C~1.EXE', '32'); DeleteFile('C:\Users\Admin\AppData\Local\Temp\gCPpHttpvtHI.exe', '32'); DeleteFile('C:\Users\Admin\AppData\Local\Temp\ptx96Wjhn1Zt.exe', '32'); DeleteFile('C:\Windows\system32\Tasks\chrome5', '32'); DeleteFile('C:\Windows\system32\Tasks\chrome5_logon', '32'); DeleteFile('C:\Users\Admin\appdata\local\systemdir\nethost.exe', '32'); DeleteFile('C:\Program Files\microsoft data\installaddons.exe', '32'); DeleteFileMask('C:\Program Files\Microsoft Data', '*', true); DeleteFileMask('c:\users\admin\appdata\local\kometa', '*', true); DeleteFileMask('C:\Users\Admin\appdata\local\systemdir', '*', true); DeleteDirectory('C:\Program Files\Microsoft Data'); DeleteDirectory('c:\users\admin\appdata\local\kometa'); DeleteDirectory('C:\Users\Admin\appdata\local\systemdir'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Войти в интернет 2inf.netRemoveAppchrome'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Войти в интернет 2inf.netRemovePngchrome'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'gCPpHttpvtHI'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'ptx96Wjhn1Zt'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(3); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте AVZ версии 4.43, ссылка в правилах, обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.
WBR,
Vadim
Созданные отчеты!
Последний раз редактировалось given; 13.02.2015 в 11:00.
Деинсталлируйте программы:
Kometa
WebSecurity Extension version 16.40
Панель «Запуск Кометы»
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (C:\Users\Admin\Downloads в Вашем случае).Код:HKU\S-1-5-21-2248439139-2616542234-221836178-1000\...\Run: [amigo] => [X] HKU\S-1-5-21-2248439139-2616542234-221836178-1000\...\Run: [zadiisxsgo] => cmd /c start http://foretuned.com/ GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-2248439139-2616542234-221836178-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HomePage: Default -> hxxp://2inf.net/?utm_source=startpage12 CHR StartupUrls: Default -> "hxxp://2inf.net/?utm_source=startpage12" 2015-02-13 09:26 - 2015-02-13 09:26 - 00001264 _____ () C:\Users\Admin\Desktop\Вoйти в Интeрнет 2inf.net.lnk 2015-02-13 09:26 - 2015-02-13 09:26 - 00000000 ____D () C:\Users\Admin\AppData\Local\Вoйти в Интeрнет 2inf.net 2015-02-13 09:18 - 2015-02-13 09:18 - 00000001 _____ () C:\Users\Admin\AppData\Roaming\smw_inst 2015-02-13 09:17 - 2015-02-13 09:17 - 00002280 _____ () C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk 2015-02-13 09:17 - 2015-02-13 09:17 - 00002280 _____ () C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk 2015-02-13 09:17 - 2015-02-13 09:17 - 00002243 _____ () C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk 2015-02-13 09:17 - 2015-02-13 09:17 - 00000000 ____D () C:\Users\Admin\AppData\Local\MailRu 2015-02-13 09:17 - 2015-02-13 09:17 - 00000000 ____D () C:\Users\Admin\AppData\Local\Amigo 2015-02-13 09:16 - 2015-02-13 09:16 - 00000000 ____D () C:\Users\Admin\AppData\Local\Поиcк в Интeрнете CustomCLSID: HKU\S-1-5-21-2248439139-2616542234-221836178-1000_Classes\CLSID\{5157F497-D629-47A4-A73D-41ACE6766B0E}\localserver32 -> "C:\Users\Admin\AppData\Local\Kometa\Application\39.0.2171.95\delegate_execute.exe" No File CustomCLSID: HKU\S-1-5-21-2248439139-2616542234-221836178-1000_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29161}\localserver32 -> "C:\Users\Admin\AppData\Local\Amigo\Application\32.0.1709.113\delegate_execute.exe" No File Task: {1627610B-8084-4399-AB9A-A8D65FFE5BBF} - \chrome5_logon No Task File <==== ATTENTION Task: {52D54FCC-9086-401B-9384-068074DE5449} - \chrome5 No Task File <==== ATTENTION C:\Users\Admin\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.exe C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет 2inf.net.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт 2inf.net.lnk C:\Users\Admin\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.lnk EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
Да, я ещё просил сделать лог актуальной версией AVZ.
WBR,
Vadim
А так и сделал, скачал заново обновил базы. С проблемой осталось частично! появились ярлыки с какими то играми кодекс пирата, войны престолов и т.д так же открывается вместо поиска гугл майл. и в вконтаке появился вкладка,где моя страница.... Лотерея !!!
Читайте внимательно, что я пишу.
Ни нового лога AVZ не выложили, ни Fixlog.txt.
WBR,
Vadim
Можете дать конкретную ссылку на новую версию avz 4.43. Вот и отчет, извинюсь! лог avz
Последний раз редактировалось given; 13.02.2015 в 12:32.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
лог!Сообщение от Vvvyg
Последний раз редактировалось given; 13.02.2015 в 14:50.
Выполните скрипт в uVS:Компьютер перезагрузится.Код:;uVS v3.85.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\KOMETA\KOMETA.LNK del %SystemDrive%\USERS\ADMIN\DESKTOP\KOMETA.LNK del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\ПАНЕЛЬ ЗАПУСКА БРАУЗЕРА КОМЕТА\ПАНЕЛЬ ЗАПУСКА.LNK del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\ПАНЕЛЬ ЗАПУСКА БРАУЗЕРА КОМЕТА\УДАЛИТЬ ПАНЕЛЬ ЗАПУСКА.LNK delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\SYSTEMDIR\NETHOST.EXE deldir %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\SYSTEMDIR deldir %SystemDrive%\FRST deldir %SystemDrive%\Program Files\Microsoft Data uidel "C:\Program Files\Microsoft Data\unins000.exe" delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\KOMETA\PANEL\KOMETALAUNCHPANEL.EXE delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\KOMETA\PANEL\PANELREMOVE.EXE deltmp restart
Сообщите, что с проблемами.
WBR,
Vadim
Осталось без изменений
Новый лог Farbar Recovery Scan Tool сделайте.
WBR,
Vadim
Новый лог!
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:SearchScopes: HKU\S-1-5-21-2248439139-2616542234-221836178-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg SearchScopes: HKU\S-1-5-21-2248439139-2616542234-221836178-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg Task: {6B30CC9F-C185-4397-908C-6C259E7F06F1} - \nethost task No Task File <==== ATTENTION InternetURL: C:\Users\Admin\Favorites\Mail.Ru Агент - используй для общения!.url -> hxxp://agent.mail.ru InternetURL: C:\Users\Admin\Favorites\Mail.Ru.url -> hxxp://www.mail.ru C:\Users\Admin\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk AlternateDataStreams: C:\ProgramData\TEMP:10D14739 EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Поисковые настройки в Хроме правьте сами, FRST их не видит. Левые ярлыки - тоже сами удалите, и задумайтесь - что такое запускали, как началась проблема? Это не какой-то там неведомый вирус, это что-то из кряков/модов/патчей наверняка.
WBR,
Vadim
Все началось после открытия этого архива и файла! Вот ссылка с проверки! https://www.virustotal.com/ru/file/2...is/1423836910/
Что после последнего фикса?
WBR,
Vadim
Вроде, нормализовалось !
Удалите папку C:\FRST со всем содержимым.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\users\admin\appdata\local\kometa\kometaup.exe - not-a-virus:Downloader.Win32.Agent.cxan ( DrWEB: Trojan.LoadMoney.420, BitDefender: Gen:Variant.Graftor.165927 )
- c:\users\admin\appdata\local\systemdir\nethost.exe - Trojan.Win32.Agent2.jnzy ( AVAST4: Win32:Dropper-gen [Drp] )
- c:\users\admin\appdata\local\temp\gcpphttpvthi.exe - not-a-virus:Downloader.Win32.LMN.agz ( DrWEB: Trojan.LoadMoney.422, BitDefender: Gen:Variant.Graftor.164910, AVAST4: Win32:Agent-AVKP [Trj] )
- c:\users\admin\appdata\local\temp\net98c~1.exe - not-a-virus:Downloader.Win32.LMN.agz ( AVAST4: Win32:Agent-AVKP [Trj] )
- c:\users\admin\appdata\local\temp\ptx96wjhn1zt.exe - not-a-virus:Downloader.Win32.LMN.agz ( DrWEB: Trojan.LoadMoney.413, BitDefender: Gen:Variant.Graftor.164910, AVAST4: Win32:Agent-AVFV [Trj] )
Уважаемый(ая) given, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
