Показано с 1 по 6 из 6.

Самопроизвольная загрузка страницы при старте [Trojan.Win32.Agent.idxa, Trojan-Dropper.Win32.Agent.olpl ] (заявка № 174816)

  1. #1
    Junior Member Репутация
    Регистрация
    15.01.2015
    Сообщений
    2
    Вес репутации
    12

    Самопроизвольная загрузка страницы при старте [Trojan.Win32.Agent.idxa, Trojan-Dropper.Win32.Agent.olpl ]

    Здравствуйте, при запуске ОС сама по-себе запускается Опера и выводит на страницу 2inf.net. Над проблемой бьюсь уже 3-ий день (вечер), перепробовал всё что мог, но увы. В поиске нашёл, что Вы помогли девушке с аналогичной проблемой, прошу Вас помочь, если это ,конечно, возможно. Согласно инструкции проделал все манипуляции и результаты предоставляю Вам. Заранее спасибо за Ваше время и внимание.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) martipasha, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,402
    Вес репутации
    1029
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\Users\Admin\appdata\local\systemdir\setsearchm.exe','');
     QuarantineFile('C:\Users\Admin\AppData\Local\Microsoft\Windows\system.exe','');
     QuarantineFile('C:\Users\Admin\AppData\Local\SystemDir\nethost.exe','');
     QuarantineFile('C:\Users\Admin\AppData\Local\Kometa\kometaup.exe','');
     DeleteFile('C:\Users\Admin\AppData\Local\Kometa\kometaup.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nnjooqenfi');
     DeleteFile('C:\Users\Admin\AppData\Local\SystemDir\nethost.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\nethost task','32');
     DeleteFile('C:\Windows\system32\Tasks\SystemScript','32');
     DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\Windows\system.exe','32');
     DeleteFile('C:\Users\Admin\appdata\local\systemdir\setsearchm.exe','32');
     DeleteFileMask('C:\Users\Admin\appdata\local\systemdir', '*', true, ' ');
     DeleteDirectory('C:\Users\Admin\appdata\local\systemdir');     
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;     
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    O4 - HKCU\..\Run: [nnjooqenfi] cmd /c start http://shampinfo.ru/
    O4 - HKCU\..\Run: [kometaup] C:\Users\Admin\AppData\Local\Kometa\kometaup.exe --windows-start
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите checkbrowserlnk.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
    5. Прикрепите этот отчет в вашей теме.


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  5. #4
    Junior Member Репутация
    Регистрация
    15.01.2015
    Сообщений
    2
    Вес репутации
    12
    Здравствуйте, вот предоставляю Вам все результаты.

    - - - - -Добавлено - - - - -

    Огромное спасибо, проблема решена. Удачи Вашему проекту!!!
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,402
    Вес репутации
    1029
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      CHR HKU\S-1-5-21-1131999140-2023510394-2193213955-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      SearchScopes: HKU\S-1-5-21-1131999140-2023510394-2193213955-1000 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
      SearchScopes: HKU\S-1-5-21-1131999140-2023510394-2193213955-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
      CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path
      CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path
      CHR HKLM\...\Chrome\Extension: [gkgcmimepaonfdgamebdbeffalkjpmbc] - C:\Program Files\Аудио и видео скачивание\avdownloader-sk.crx [Not Found]
      CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path
      CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - No Path
      CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path
      CHR HKU\S-1-5-21-1131999140-2023510394-2193213955-1000\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - No Path
      2015-01-12 23:11 - 2015-01-12 23:11 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol
      2015-01-12 23:11 - 2015-01-12 23:11 - 00000258 __RSH () C:\ProgramData\ntuser.pol
      Task: {1E639636-8CE2-4DA3-8ECD-231259D116A9} - \nethost task No Task File <==== ATTENTION
      Task: {43F07363-299F-4940-A99C-ED6ECA448A9A} - \SystemScript No Task File <==== ATTENTION
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\admin\appdata\local\systemdir\nethost.exe - Trojan-Dropper.Win32.Agent.olpl ( DrWEB: Trojan.DownLoader11.55611, AVAST4: Win32:Dropper-gen [Drp] )
      2. c:\users\admin\appdata\local\systemdir\setsearchm. exe - Trojan.Win32.Agent.idxa


  • Уважаемый(ая) martipasha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 28
      Последнее сообщение: 19.01.2015, 21:21
    2. Ответов: 4
      Последнее сообщение: 12.01.2014, 21:30
    3. Ответов: 2
      Последнее сообщение: 11.09.2013, 18:23
    4. Самопроизвольная загрузка браузеров
      От Macuk в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.08.2013, 08:36
    5. Загрузка ЦП на 100% при старте
      От DFX в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.10.2008, 14:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00088 seconds with 17 queries