Показано с 1 по 11 из 11.

К Вам как к последней инстанции ) (заявка № 178044)

  1. #1
    Junior Member Репутация
    Регистрация
    19.02.2015
    Сообщений
    5
    Вес репутации
    11

    К Вам как к последней инстанции )

    В комп проник некий вредитель, после проверки Доктор вэбом (который по его словам все удалил) в браузере при загрузке открывается Мейл.ру и ничего с эти поделать невозможно. помогите пожалуйста товарищи! логи авз и хайджек прилагаются
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    341
    Уважаемый(ая) Michel Puls, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,409
    Вес репутации
    831
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\users\Михель\appdata\local\mail.ru\mailruupdater.exe');
     QuarantineFile('c:\users\Михель\appdata\local\mail.ru\mailruupdater.exe', '');
     DeleteFile('c:\users\Михель\appdata\local\mail.ru\mailruupdater.exe', '32');
     DeleteFile('C:\Users\Михель\AppData\Local\Amigo\Application\amigo.exe', '32');
     DeleteFile('C:\Users\Михель\AppData\Local\Amigo\Application\ok.exe', '32');
     DeleteFile('C:\Users\Михель\AppData\Local\Amigo\Application\ok.exe http://r.mail.ru/n137259061', '32');
     DeleteFile('C:\Users\Михель\AppData\Local\Amigo\Application\vk.exe', '32');
     DeleteFile('C:\Users\Михель\AppData\Local\Amigo\Application\vk.exe http://r.mail.ru/n137259063', '32');
     DeleteFile('C:\Users\Михель\AppData\Local\Kometa\Application\kometa.exe', '32');
     DeleteFile('C:\WINDOWS\system32\Tasks\chrome5', '64');
     DeleteFile('C:\WINDOWS\system32\Tasks\chrome5_logon', '64');
     DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}');
     DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Обнови Софт');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vbalbsyheo');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти три файла к своему следующему сообщению.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    19.02.2015
    Сообщений
    5
    Вес репутации
    11
    отани
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,409
    Вес репутации
    831
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    (QIP.ru) C:\Users\Михель\AppData\Roaming\QipGuard\QipGuard.exe
    HKLM-x32\...\Run: [] => [X]
    HKLM-x32\...\Run: [Timestasks] => "C:\ProgramData\TimeTasks\TimeTasksSetup.exe" /adv= /S
    HKU\S-1-5-21-3584577549-1263356312-2527242877-1003\...\Run: [amigo] => [X]
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    CHR HKU\S-1-5-21-3584577549-1263356312-2527242877-1003\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-3584577549-1263356312-2527242877-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=newcustom1
    SearchScopes: HKU\S-1-5-21-3584577549-1263356312-2527242877-1003 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg
    SearchScopes: HKU\S-1-5-21-3584577549-1263356312-2527242877-1003 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg
    BHO: No Name -> {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} ->  No File
    BHO: No Name -> {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} ->  No File
    FF DefaultSearchEngine: Поиск@Mail.Ru
    FF SelectedSearchEngine: Поиск@Mail.Ru
    FF Homepage: hxxp://mail.ru/cnt/10445?gp=newcustom1
    FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
    FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\mailru.xml
    FF Extension: FProtected v15.2.17 - C:\Users\Михель\AppData\Roaming\Mozilla\Firefox\Profiles\uv5im53x.default\Extensions\itsecurity@new-taks.org [2015-02-18]
    FF Extension: Currency calc - C:\Users\Михель\AppData\Roaming\Mozilla\Firefox\Profiles\uv5im53x.default\Extensions\{1FE48F08-A2AC-44AC-A21C-0556D91C50DA} [2015-02-18]
    FF Extension: Визуальные закладки @Mail.Ru - C:\Users\Михель\AppData\Roaming\Mozilla\Firefox\Profiles\uv5im53x.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2015-02-18]
    FF Extension: No Name - C:\Users\Михель\AppData\Roaming\Mozilla\Firefox\Profiles\uv5im53x.default\Extensions\59D317DB041748fdB89B47E6F96058F3@defext.xpi [2015-02-18]
    FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Михель\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
    FF Extension: SuperMegaBest.com - C:\Users\Михель\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-02-23]
    FF HKLM-x32\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Михель\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
    CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=newcustom1
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=newcustom1", "hxxp://2inf.net/?utm_source=startpage12"
    CHR DefaultSearchKeyword: Default -> go.mail.ru
    CHR DefaultSuggestURL: Default -> http://suggests.go.mail.ru/chrome?q={searchTerms}
    CHR Extension: (SuperMegaBest.com) - C:\Users\Михель\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2015-02-23]
    CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Михель\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2015-02-18]
    CHR Extension: (Mail.Ru) - C:\Users\Михель\AppData\Local\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai [2015-02-18]
    CHR Extension: (No Name) - C:\Users\Михель\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdefnbcpjeflgggkipfemfckjicceiii [2015-02-18]
    CHR Extension: (No Name) - C:\Users\Михель\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkgpajbdcbgaciibdeknligdaofmegma [2015-02-18]
    CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Михель\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2015-02-18]
    CHR Extension: (Mail.Ru) - C:\Users\Михель\AppData\Local\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai [2015-02-18]
    CHR Extension: (No Name) - C:\Users\Михель\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdefnbcpjeflgggkipfemfckjicceiii [2015-02-18]
    CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - https://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
    OPR StartupUrls: "hxxp://mail.ru/cnt/10445"
    OPR Extension: (SuperMegaBest.com) - C:\Users\Михель\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2015-02-23]
    2015-02-23 16:24 - 2015-02-23 17:20 - 00000000 ____D () C:\Users\Михель\AppData\Roaming\Obnovi Soft
    2015-02-23 16:22 - 2015-02-23 16:22 - 00001086 _____ () C:\Users\Гость\Desktop\Обнови Софт.lnk
    2015-02-23 16:21 - 2015-02-23 16:22 - 00001086 _____ () C:\Users\Администратор\Desktop\Обнови Софт.lnk
    2015-02-23 16:21 - 2015-02-23 16:21 - 00001086 _____ () C:\Users\UpdatusUser\Desktop\Обнови Софт.lnk
    2015-02-23 16:21 - 2015-02-23 16:21 - 00000000 ____D () C:\Users\Михель\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт
    2015-02-23 16:21 - 2015-02-23 16:21 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
    2015-02-19 18:36 - 2015-02-19 18:36 - 00000040 _____ () C:\WINDOWS\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
    2015-02-19 18:36 - 2015-02-19 18:36 - 00000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
    2015-02-19 18:36 - 2015-02-19 18:36 - 00000000 ____D () C:\Users\Михель\AppData\Roaming\ProductData
    2015-02-19 18:35 - 2015-02-23 16:30 - 00000000 ____D () C:\ProgramData\ProductData
    2015-02-19 18:35 - 2015-02-19 18:35 - 00000000 ____D () C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
    2015-02-19 18:35 - 2015-02-19 18:35 - 00000000 ____D () C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
    2015-02-19 18:34 - 2015-02-19 18:34 - 00000000 ____D () C:\Users\Михель\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
    2015-02-19 18:34 - 2015-02-19 18:34 - 00000000 ____D () C:\Users\Михель\AppData\Roaming\ASPackage
    2015-02-19 18:33 - 2015-02-19 18:33 - 00000000 ____D () C:\Users\Михель\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
    2015-02-18 23:25 - 2015-02-18 23:25 - 00000000 ____D () C:\Users\Михель\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kometa
    2015-02-18 23:14 - 2015-02-18 23:14 - 00000001 _____ () C:\Users\Михель\AppData\Roaming\smw_inst
    2015-02-19 18:36 - 2015-02-19 18:36 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
    Task: {69D07A2D-929A-43F5-B6B6-35F4B39B8E22} - \chrome5 No Task File <==== ATTENTION
    Task: {6B3F6EEC-7DA7-4F04-B325-1CF7B7E320EF} - \chrome5_logon No Task File <==== ATTENTION
    Task: {D986473C-70AE-4E53-B5E9-DFED834F00DB} - System32\Tasks\nethost task => C:\Users\Михель\AppData\Local\SystemDir\nethost.exe
    C:\Users\Михель\AppData\Local\SystemDir
    AlternateDataStreams: C:\Temp:6KHsePwDeo381JftBX
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Uninstall.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Обнови Софт.lnk
    C:\Program Files (x86)\Obnovi Soft
    InternetURL: C:\Users\Михель\Favorites\Mail.Ru Агент - используй для общения!.url -> hxxp://agent.mail.ru
    InternetURL: C:\Users\Михель\Favorites\Mail.Ru.url -> hxxp://www.mail.ru
    InternetURL: C:\Users\Михель\Favorites\Links\Интернет.url -> hxxp://2inf.net/?utm_source=favorites12
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае).
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    19.02.2015
    Сообщений
    5
    Вес репутации
    11
    ребятушки спасибо огромное! все работает как раньше
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,409
    Вес репутации
    831
    Удалите папку C:\FRST со всем содержимым.

    Загрузите SecurityCheck by glax24 отсюда и сохраните на Рабочем столе.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    19.02.2015
    Сообщений
    5
    Вес репутации
    11
    теперь почему то мозила отказывается открывать предыдущую сессию и все время показывает свою домашнюю по умолчанию ))
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,409
    Вес репутации
    831
    Это в настройках задаётся.

    Рекомендую обновить Firefox и Opera до последних версий.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    19.02.2015
    Сообщений
    5
    Вес репутации
    11
    да я понимаю, но в моем случае мозила открывается каждый раз как впервые. это в общем то ничего страшного. спасибо Вам огромное )

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,409
    Вес репутации
    831
    Попробуйте Сброс настроек Firefox.
    WBR,
    Vadim

Похожие темы

  1. По поводу последней эпидемии сетевого червя
    От rasclogin в разделе Вредоносные программы
    Ответов: 3
    Последнее сообщение: 24.05.2009, 17:29
  2. Ответов: 0
    Последнее сообщение: 17.01.2009, 21:26

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00288 seconds with 17 queries