Показано с 1 по 20 из 20.

Лезет реклама и окна с вирусами! Не могу сделать диагностические логи [Trojan-Dropper.Win32.Dapato.elcd ] (заявка № 166963)

  1. #1
    Junior Member Репутация
    Регистрация
    21.09.2014
    Сообщений
    14
    Вес репутации
    35

    Thumbs up Лезет реклама и окна с вирусами! Не могу сделать диагностические логи [Trojan-Dropper.Win32.Dapato.elcd ]

    Уважаемые гуру борьбы с компьютерной нечистью! Очень прошу помочь - серьезно захворал рабочий ноутбук, без которого я как без рук.

    Собсно, сабж, описанный в заголовке темы. Баннеры лезут постоянно (порно, знакомства и тд), автоматом открываются левые окна в браузере - казино, игровые автоматы и тд, недавно стало открываться сообщение, что браузер устарел и необходимо скачать обновление и тд, причем страница не закрывается. Комп при всем при этом этом работает, но тормозит.

    Это еще ладно, но проблемы возникли уже на стадии диагностики - не могу выложить требуемые логи. Операционка англоязычная, AVZ запускается на английском (запустить на русском не смог при создании текстового файла) и при переводе точного соответствия требуемому скрипту не нашел. Запустил предпоследний, но лог сохранить он не смог.

    HiJAckThis тоже запустить не могу - пишет ошибку.

    Заскринил все ошибки, но выложить на форум почему-то не могу. Что делать?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Alfar, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Alfar Посмотреть сообщение
    Операционка англоязычная, AVZ запускается на английском (запустить на русском не смог при создании текстового файла) и при переводе точного соответствия требуемому скрипту не нашел.
    вот тут скрины для англ. локализации http://virusinfo.info/content.php?r=...-for-treatment

    - - - - -Добавлено - - - - -

    +
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    21.09.2014
    Сообщений
    14
    Вес репутации
    35
    Большое спасибо, все сделал.

    Однако прикрепить лог не могу, вложения на форум не вставляются. При открытии директории, в которой располагается вложение, самого вложения не видно, а внизу в строчке, где имя файла, отображается "??????". Никакие файлы с компьютера выбрать для вложения нельзя.

    Вот сам лог:

    # AdwCleaner v3.310 - Report created 21/09/2014 at 14:18:02
    # Updated 12/09/2014 by Xplode
    # Operating System : Windows 7 Enterprise Service Pack 1 (64 bits)
    # Username : amyzniko - MW4L1Y3MTZ1
    # Running from : C:\Users\amyzniko\Desktop\adwcleaner_3.310.exe
    # Option : Scan


    ***** [ Services ] *****




    ***** [ Files / Folders ] *****


    Folder Found : C:\ProgramData\apn
    Folder Found : C:\Users\amyzniko\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdpljndcmbeikfnlflcggaipgn hiedbl
    Folder Found : C:\Users\amyzniko\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdpljndcmbeikfnlflcggaipgn hiedbl
    Folder Found : C:\Users\amyzniko\AppData\Local\Mail.Ru
    Folder Found : C:\Users\amyzniko\AppData\Local\MailRu
    Folder Found : C:\Users\amyzniko\AppData\Roaming\OpenCandy
    Folder Found : C:\Users\amyzniko\Documents\Mobogenie


    ***** [ Scheduled Tasks ] *****




    ***** [ Shortcuts ] *****




    ***** [ Registry ] *****


    Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
    Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Settings\{000123B4-9B42-4900-B3F7-F4B073EFC214}
    Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Settings\{C55BBCD6-41AD-48AD-9953-3609C48EACC7}
    Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
    Key Found : HKLM\SOFTWARE\Classes\CLSID\{00100000-2001-0051-B4B6-006094B9D64F}
    Key Found : HKLM\SOFTWARE\Classes\CLSID\{00100000-2001-0054-B4B6-006094B9D64F}
    Key Found : HKLM\SOFTWARE\Classes\CLSID\{00100000-2001-0057-B4B6-006094B9D64F}
    Key Found : HKLM\SOFTWARE\Classes\CLSID\{B90F32AD-859E-4EDD-BFAE-C9216849520C}
    Key Found : HKLM\SOFTWARE\Classes\CLSID\{C08AB035-3820-4FA7-9420-B0259A4DA2B8}
    Key Found : HKLM\SOFTWARE\Classes\CLSID\{DAADF07B-7D06-4AF4-B3CA-6144830077EC}
    Key Found : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
    Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\bopakagnckm lgajfccecajhnimjiiedh
    Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd


    ***** [ Browsers ] *****


    -\\ Internet Explorer v8.0.7601.18534




    -\\ Mozilla Firefox v30.0 (ru)


    [ File : C:\Users\amyzniko\AppData\Roaming\Mozilla\Firefox\ Profiles\6fax2l63.default\prefs.js ]




    -\\ Google Chrome v36.0.1985.143


    [ File : C:\Users\amyzniko\AppData\Local\Google\Chrome\User Data\Default\preferences ]


    Found [Extension] : mdpljndcmbeikfnlflcggaipgnhiedbl


    *************************


    AdwCleaner[R0].txt - [2544 octets] - [21/09/2014 14:18:02]


    ########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [2604 octets] ##########

    - - - - -Добавлено - - - - -

    HJT error.jpg

    - - - - -Добавлено - - - - -

    AVZ mistake.jpg

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1) Жду логи AVZ. Если не можете прикрепить на форум загрузите сюда http://rghost.ru/
    2) - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    21.09.2014
    Сообщений
    14
    Вес репутации
    35
    Выложить скрины ошибок получилось.

    - - - - -Добавлено - - - - -

    Прошу прощения, сделал все по англоязычной инструкции - выполнил скрипт, но лог не сохранился. Что делать?

    - - - - -Добавлено - - - - -

    Вот ссылка на лог АдвКлинера после удаления файлов: http://rghost.net/private/58128081/6...78a9646828cd74

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Alfar Посмотреть сообщение
    Прошу прощения, сделал все по англоязычной инструкции - выполнил скрипт, но лог не сохранился. Что делать?
    надо было выполнять стандартный скрипт №3 цифры там что в русской, что в англ. варианте одинаковые. После этого лог в папке лог с папкой AVZ. Если лог не появился. значит сделали что-то не то.

    - - - - -Добавлено - - - - -

    ну, вот по скрину видно что вы делали стандартный скрипт №8 а нужно №3 и №2. Но хотя бы №3 сделайте пока.

    - - - - -Добавлено - - - - -

    + лучше перенесите папку с AVZ в корень диска С.

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    21.09.2014
    Сообщений
    14
    Вес репутации
    35
    Цитата Сообщение от regist Посмотреть сообщение
    Но хотя бы №3 сделайте пока.

    + лучше перенесите папку с AVZ в корень диска С.
    Прошу прощения, был вынужден по срочной работе пользоваться другим компом. Щас опять вернулся к своему зараженному и продолжаю выполнять требуемое.

    Огромнейшее спасибо за ответы, обязательно пополню копилку этого замечательного форума!

    Перенес АВЗ в корень диска и сделал скрипт номер 3, все сохранилось наконец-то! Лог прикрепил, жду дальнейших указаний от профессоров!
    Вложения Вложения

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Внимание !!! База поcледний раз обновлялась 03.06.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.
    Пожалуйста, обновите базы и сделайте новые логи.

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    21.09.2014
    Сообщений
    14
    Вес репутации
    35
    Цитата Сообщение от regist Посмотреть сообщение
    Пожалуйста, обновите базы и сделайте новые логи.
    К сожалению, в меню File ссылка Database Update неактивна. Версия последняя, скачанная по ссылке на форуме. Запускаю AVZ от имени администратора.

    Что можно сделать?

    - - - - -Добавлено - - - - -

    Все, разобрался - скачал с z-oleg последнуюю версию снова и там уже обновление активно. Делаю скрипт.

    - - - - -Добавлено - - - - -

    Сделал лог.
    Вложения Вложения

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


    скачайте отсюда Оперу и проверьте проблему в ней.

  17. Это понравилось:


  18. #12
    Junior Member Репутация
    Регистрация
    21.09.2014
    Сообщений
    14
    Вес репутации
    35
    Все сделал, вот ссылка: http://virusinfo.info/virusdetector/...2E23366DF57BC0

    MD5 карантина: B4FF3983D367F0A08F2E23366DF57BC


    Новую Оперу скачал, в ней проблемы пока не вижу. Работаю через нее - намного удобнее она, кстати, что за версия? Очень долго такую пытался найти - такая стояла на предыдущем ноуте рабочем, там очень удобно было можно просматривать закрытые страницы. В новых такого нет уже, так что спасибо большое!

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Alfar Посмотреть сообщение
    Работаю через нее - намного удобнее она, кстати, что за версия? Очень долго такую пытался найти - такая стояла на предыдущем ноуте рабочем, там очень удобно было можно просматривать закрытые страницы. В новых такого нет уже, так что спасибо большое!
    Скачали вы скорее всего 12,17 - это настоящая Опера, а те что "новые" это на самом деле Хром замаскированный под Оперу. От себя могу вам ещё посоветовать скачать Opera 12.14
    32-bit / 64-bit и проверить работу в ней.
    имхо эта версия лучше работает с сайтами.

    -----------------
    но с той что установлена у вас давайте тоже разберёмся, чтобы никакой гадости на компе у вас не оставалось.


    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     QuarantineFile('C:\Program Files (x86)\Autonomy\Connected BackupPC\LaunchAgent.vbs','');
     QuarantineFile('C:\Program Files (x86)\Microsoft Data\nsi.exe','');
     DeleteFile('C:\Program Files (x86)\Microsoft Data\nsi.exe');
     DeleteFile('C:\WINDOWS\system32\Tasks\chrome5','64');
     DeleteFile('C:\WINDOWS\system32\Tasks\chrome5_logon','64');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Отключите все расширения браузера и снова проверьте проблему.

  20. #14
    Junior Member Репутация
    Регистрация
    21.09.2014
    Сообщений
    14
    Вес репутации
    35
    Большое спасибо, все сделал, карантин отправил.

    Настоящая Опера работает хорошо, в старой Опере проблема осталась. Реклама по по-прежнему лезет.

    Качаю Revo Uninstaller - щас снесу все лишнее с компа, включая ту самую Оперу.

    Косвенный признак "вылечиваемости": как только комп захандрил, Аутлук отказывался качать рабочую почту вне офисной сети, качал только через VPN-подключение. Сейчас качает и так

  21. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Alfar Посмотреть сообщение
    в старой Опере проблема осталась.
    удалите все расширения в ней.

  22. #16
    Junior Member Репутация
    Регистрация
    21.09.2014
    Сообщений
    14
    Вес репутации
    35
    Цитата Сообщение от regist Посмотреть сообщение
    удалите все расширения в ней.
    Я уже снес всю Оперу целиком. Расширения при этом остаются или нет?

    Или поставить заново и проверить?

  23. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Alfar Посмотреть сообщение
    Я уже снес всю Оперу целиком. Расширения при этом остаются или нет?
    не в курсе.
    Цитата Сообщение от Alfar Посмотреть сообщение
    Или поставить заново и проверить?
    как хотите.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  24. #18
    Junior Member Репутация
    Регистрация
    21.09.2014
    Сообщений
    14
    Вес репутации
    35
    БОльшое спасибо, скрипт сделал - блокнот не открылся. Версии программ все новые, стоит автообновление, все лицензионное.

    Все браузеры удалил. ИЕ работает нормально, Опера 12.17 - вообще супер (тока Гугл почта тормозит в ней). Аутлук почту качает без ВПН Антивирусы ничего не находят.

    Можно ли считать, что все ок?

  25. #19

  26. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files (x86)\microsoft data\nsi.exe - Trojan-Dropper.Win32.Dapato.elcd ( BitDefender: Gen:Variant.Adware.Graftor.150945, AVAST4: Win32:Adware-gen [Adw] )


  • Уважаемый(ая) Alfar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Карантин B4FF3983D367F0A08F2E23366DF57BC0 [HEUR:Trojan.Win32.Cosmu.gen, Trojan-Dropper.Win32.Dapato.elcd]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 11.02.2017, 23:24
    2. Ответов: 27
      Последнее сообщение: 20.08.2014, 19:55
    3. Карантин B73DA3C08A7900C0AA4E15AB9A47D328 [UDS:DangerousObject.Multi.Generic, Trojan.Win32.Badur.ujn]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 13.09.2013, 04:13
    4. вирус [Trojan-Dropper.Win32.Dapato.cybq ]
      От gard в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 01.08.2013, 16:13
    5. Ответов: 9
      Последнее сообщение: 02.12.2012, 15:27

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00568 seconds with 20 queries