При загрузке компьютера запускает браузер, с адресными строчками 2inf.net. До это очищали с помощью dr-web cureit удалили 37 троянов и зараженных файлов.
При загрузке компьютера запускает браузер, с адресными строчками 2inf.net. До это очищали с помощью dr-web cureit удалили 37 троянов и зараженных файлов.
Уважаемый(ая) Dimon11, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Владелец\appdata\local\microsoft\extensions\extsetup.exe',''); QuarantineFile('C:\Users\Владелец\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe',''); QuarantineFile('C:\Users\Владелец\appdata\local\nvidia corporation\update\daemonupd.exe',''); QuarantineFile('C:\Users\Владелец\AppData\Local\Adobe\Flash Player\airappinstaller.exe',''); QuarantineFile('C:\Program Files\ver8BlockAndSurf\J6BlockAndSurfR79.exe',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\firefox.bat',''); QuarantineFile('C:\Users\Владелец\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe',''); SetServiceStart('webinstrNHKT', 4); SetServiceStart('Update Service for advPlugin', 4); DeleteService('Update Service for advPlugin'); QuarantineFile('C:\Windows\system32\Drivers\webinstrNHKT.sys',''); TerminateProcessByName('c:\users\Владелец\appdata\local\wincheck\wincheck.exe'); QuarantineFile('c:\users\Владелец\appdata\local\wincheck\wincheck.exe',''); TerminateProcessByName('c:\program files\advplugin\basement\extensionupdaterservice.exe'); QuarantineFile('c:\program files\advplugin\basement\extensionupdaterservice.exe',''); DeleteFile('c:\program files\advplugin\basement\extensionupdaterservice.exe','32'); DeleteFile('c:\users\Владелец\appdata\local\wincheck\wincheck.exe','32'); DeleteFile('C:\Windows\system32\Drivers\webinstrNHKT.sys','32'); DeleteFile('C:\Program Files\Kinoroom Browser\kinoroom-browser.exe','32'); DeleteFile('C:\Program Files\VPets\VPets.exe','32'); DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','VPetsPlayer'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VPetsPlayer','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PCHDPlayer','command'); DeleteFile('C:\Users\Владелец\AppData\Local\Yandex\browser.bat','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck'); DeleteFile('C:\firefox.bat','32'); DeleteFile('C:\iexplore.bat','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rulwqudcyb'); DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\Program Files\ver8BlockAndSurf\J6BlockAndSurfR79.exe','32'); DeleteFile('C:\Windows\Tasks\BlockAndSurf Update.job','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32'); DeleteFile('C:\Windows\system32\Tasks\BlockAndSurf Update','32'); DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','32'); DeleteFile('C:\Users\Владелец\appdata\local\nvidia corporation\update\daemonupd.exe','32'); DeleteFile('C:\Users\Владелец\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe','32'); DeleteFile('C:\Users\Владелец\appdata\local\microsoft\extensions\extsetup.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Сделайте новые логиКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=122c43ab8c0d22cac8dfca1cee8c3518&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=122c43ab8c0d22cac8dfca1cee8c3518&text={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=122c43ab8c0d22cac8dfca1cee8c3518&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=122c43ab8c0d22cac8dfca1cee8c3518&text= F2 - REG:system.ini: UserInit= O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing) O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file) O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=122c43ab8c0d22cac8dfca1cee8c3518&text=
Сделайте логи RSIT
Сделайте лог Check Browsers' LNK
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил скрипт в AVZ, по неопытности профиксил всё. После скрипта, браузер перестал запускаться самостоятельно. Не могу загрузить на сайт virus.zip, выходит ошибка.
"virus.zip: 527.7 Кб превысил(а) предел на форуме. <a href="misc.php?do=attachments" target="_blank">Нажмите здесь для просмотра ваших вложений</a>"
- - - - -Добавлено - - - - -
Логи
Почитайте, как нужно отправить карантин
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
Удалите вручную
C:\Program Files\AnyProtectEx
C:\Users\Владелец\AppData\Roaming\AnyProtectEx
C:\Program Files\ver8BlockAndSurf
C:\ProgramData\Kbupdater Utility
C:\Program Files\Kinoroom Browser
C:\Program Files\advPlugin
C:\Program Files\Аудио и видео скачивание
C:\ProgramData\TimeTasks
C:\Users\Владелец\AppData\Roaming\eTranslator
C:\Users\Владелец\AppData\Roaming\Homepager
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день!
Карантин отправил.
Лог сделал, прикладываю.
Папки вручную удалил.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Проблема решена. Спасибо Вам большое за помощь.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 31
- В ходе лечения обнаружены вредоносные программы:
- c:\users\владелец\appdata\local\microsoft\extensio ns\extsetup.exe - Trojan-Downloader.Win32.AdLoad.efik ( DrWEB: archive: )
- c:\users\владелец\appdata\roaming\mediahit\shadow\ mediahit.update\mediahit.update.process.exe - not-a-virus:HEUR:Downloader.Win32.LMN.gen
Уважаемый(ая) Dimon11, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.