-
Junior Member
- Вес репутации
- 33
Открывается сайт Goinf.ru и lifejournal.biz [not-a-virus:WebToolbar.Win32.eTranslator.a
]
Здравствуйте. В браузере Google Chrome при обновлении страницы или клике на ссылку очень часто открывается дополнительная вкладка с поисковой системой goinf.ru или сайт livejournal.biz. Прошлась по браузерам, никаких "левых" расширений нет, антивирус молчит, AdwCleaner проблему не решил. Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Katerinannn, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
QuarantineFile('C:\Users\22\AppData\Roaming\iSmileg\iSmileg.exe', '');
DeleteFile('C:\Users\22\AppData\Roaming\iSmileg\iSmileg.exe', '32');
DeleteFile('C:\Windows\Tasks\Recovery Tool for Video Saver.job', '32');
DeleteFile('C:\Windows\Tasks\Recovery Tool for Video Saver2.job', '32');
DeleteService('BAPIDRV');
DeleteFileMask('C:\Users\22\AppData\Roaming\iSmileg', '*', true);
DeleteDirectory('C:\Users\22\AppData\Roaming\iSmileg');
ExecuteFile('schtasks.exe', '/delete /TN "Recovery Tool for Video Saver" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Recovery Tool for Video Saver2" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Последний раз редактировалось Vvvyg; 08.07.2015 в 12:21.
WBR,
Vadim
-
-
Junior Member
- Вес репутации
- 33
Не запускается первый скрипт. Выдает ошибку.
Вложение 575204
-
-
-
Junior Member
- Вес репутации
- 33
Карантин отправила. Логи FRST ниже.
-
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
HKLM\...\Run: [] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3594333827-3126160196-402625454-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF SelectedSearchEngine: GoSearch
CHR Extension: (No Name) - C:\Users\22\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pdfmhakmnmnlelkmmjjhohokbnlffmam [2015-06-11]
OPR Extension: (No Name) - C:\Users\22\AppData\Roaming\Opera Software\Opera Stable\Extensions\pdfmhakmnmnlelkmmjjhohokbnlffmam [2015-06-11]
OPR Extension: (Переводчик для Chrome 2) - C:\Users\22\AppData\Roaming\Opera Software\Opera Stable\Extensions\djflhoibgkdhkhhcedjiklpkjnoahfmg [2015-02-11]
C:\Users\22\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.lnk
EmptyTemp:
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
-
-
Junior Member
- Вес репутации
- 33
Пока что вроде бы тишина. Если будет продолжаться, я отпишусь. Спасибо большое.
-
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
-
-
Junior Member
- Вес репутации
- 33
Спасибо большое за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\users\22\appdata\roaming\ismileg\ismileg.exe - not-a-virus:WebToolbar.Win32.eTranslator.a ( AVAST4: Win32:Dropper-gen [Drp] )
-