Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 33.

yapages.ru - новая зараза [Trojan-Downloader.Win32.Genome.rneg ] (заявка № 184668)

  1. #1
    Junior Member Репутация
    Регистрация
    19.11.2014
    Сообщений
    30
    Вес репутации
    35

    Thumbs up yapages.ru - новая зараза [Trojan-Downloader.Win32.Genome.rneg ]

    Собственно завелась, меняет стартовые страницы и,почему-то, проадают настройки огнелиса (стартовая, открывать браузер с окнами,открытыми в прошлый раз,) вместо этого - yapages.ru , в реестре чисто, др.веб нашел 7 троянов, но с браузером это не помогло.
    Сейчас AVZ проверяет, но тоже ничего не нашел.
    Подскажите лечилку, или,может быть кто сталкивался?
    hijack вырубается сразу с правами администратора, ругается на хостс и закрывается.
    Вложения Вложения
    Последний раз редактировалось Nokian; 02.06.2015 в 13:57.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Nokian, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     QuarantineFile('C:\Users\Анон\appdata\roaming\ssleas.exe','');
     TerminateProcessByName('c:\users\Анон\appdata\local\temp\vuupc.exe');
     QuarantineFile('c:\users\Анон\appdata\local\temp\vuupc.exe','');
     TerminateProcessByName('c:\users\Анон\appdata\roaming\cppredistx86.exe');
     QuarantineFile('c:\users\Анон\appdata\roaming\cppredistx86.exe','');
     TerminateProcessByName('c:\users\Анон\appdata\roaming\acewebextension\updater\ace_web_extension.exe');
     QuarantineFile('c:\users\Анон\appdata\roaming\acewebextension\updater\ace_web_extension.exe','');
     DeleteFile('c:\users\Анон\appdata\roaming\acewebextension\updater\ace_web_extension.exe','32');
     DeleteFile('c:\users\Анон\appdata\roaming\cppredistx86.exe','32');
     DeleteFile('c:\users\Анон\appdata\local\temp\vuupc.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
     DeleteFile('C:\Users\Анон\appdata\roaming\ssleas.exe','32');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    19.11.2014
    Сообщений
    30
    Вес репутации
    35
    Приветствую! запрошенный карантин через шапку темы отослал!
    hijackjthis у меня почему-то не смотря на админскую учетку (я так понял не может в хостс запись сделать или посмотреть?) продолжает ругаться, после скрипта эта зараза не пропала.Логи вот.
    Вложения Вложения
    Последний раз редактировалось Nokian; 04.06.2015 в 13:08.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    19.11.2014
    Сообщений
    30
    Вес репутации
    35
    удалил, провел очистку, не долго радовался , через какое-то время зараза вернулась снова и теперь еще и дисконнекты делает.Вот отчет

    - - - - -Добавлено - - - - -

    что самое плохое - ничего не помогло.Страница на браузере так и меняется домашняя на эту yapages , так еще и мои настройки слетают - то есть установлено чтобы с места разъединения вкладки открывались, то есть сохранялись - открываю браузер а там опять эта вредоносная страницы.
    Вложения Вложения
    Последний раз редактировалось Nokian; 04.06.2015 в 14:20.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    19.11.2014
    Сообщений
    30
    Вес репутации
    35
    Вот логи сканирования.Страница на зарежнную меняется после каждого нового перезапуска огнелиса
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      CHR Extension: (Quick Searcher) - C:\Users\Анон\AppData\Local\Google\Chrome\User Data\Default\Extensions\kigmoblgooahdmdibodmcnffgnejlndh [2015-06-02]
      CHR Extension: (Домашняя страница – Mail.Ru) - C:\Users\Анон\AppData\Local\Google\Chrome\User Data\Default\Extensions\pldbienodkpgkccocelidinmciedjdok [2014-09-13]
      CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - https://clients2.google.com/service/update2/crx
      OPR Extension: (Quick Searcher) - C:\Users\Анон\AppData\Roaming\Opera Software\Opera Stable\Extensions\kigmoblgooahdmdibodmcnffgnejlndh [2015-06-02]
      S3 116D60A0; \??\C:\Windows\TEMP\116D60A0.sys [X]
      S3 1BF3282A; \??\C:\Windows\TEMP\1BF3282A.sys [X]
      S3 59C3BF0; \??\C:\Windows\TEMP\59C3BF0.sys [X]
      S3 6A54B28; \??\C:\Windows\TEMP\6A54B28.sys [X]
      S3 72F5605; \??\C:\Windows\TEMP\72F5605.sys [X]
      S3 D43A0AC; \??\C:\Windows\TEMP\D43A0AC.sys [X]
      2015-04-17 17:17 - 2015-04-17 17:17 - 0442896 _____ () C:\Users\Анон\AppData\Roaming\data13.dat
      2013-07-02 21:20 - 2014-04-24 01:42 - 0000460 _____ () C:\Users\Анон\AppData\Roaming\del.bat
      EmptyTemp:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.


    1. Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите Check Browsers LNK.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
    5. Прикрепите этот отчет в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    19.11.2014
    Сообщений
    30
    Вес репутации
    35
    все сделал, вот логи.После перезагрузки браузер предложил восстановление сессии, но вот же опять прописал в домашнюю страничку этот яппэйджс, снова вот сейчас опять.
    Вложения Вложения
    Последний раз редактировалось Nokian; 05.06.2015 в 16:38.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #12
    Junior Member Репутация
    Регистрация
    19.11.2014
    Сообщений
    30
    Вес репутации
    35
    сделал!
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Что с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #14
    Junior Member Репутация
    Регистрация
    19.11.2014
    Сообщений
    30
    Вес репутации
    35
    не изменилась, только что браузер(огнелис) перезапустил и опять этот япайджэез, в остальных,вроде бы прошло, но я ими особо и не пользовался никогда.
    Может это быть связанно с тем, что огнелис у меня на диске d и оттуда только ярлык на раб.столе? в свойствах ярлыка все нормально.
    Что-же делать?
    Последний раз редактировалось Nokian; 06.06.2015 в 11:10.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Пересоздайте ярлык для браузера.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #16
    Junior Member Репутация
    Регистрация
    19.11.2014
    Сообщений
    30
    Вес репутации
    35
    уже делал, переустановил браузер - он переустановился со старыми настройками и опять япейджес этот, соответственно гадость засела папке с личным профилем и расширениями для браузера
    Последний раз редактировалось Nokian; 06.06.2015 в 12:42.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Сделайте новые логи FRST.txt и Addition.txt
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #18
    Junior Member Репутация
    Регистрация
    19.11.2014
    Сообщений
    30
    Вес репутации
    35
    вот,предоставляю!Надеюсь что-то найдется!
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      2015-06-02 14:25 - 2015-06-06 10:45 - 00001645 _____ C:\Users\Анон\Desktop\chrome.bat.exe - Ярлык.lnk
      2015-06-02 14:25 - 2015-06-06 01:42 - 00001316 _____ C:\Users\Анон\Desktop\opera.bat.exe - Ярлык.lnk
      2015-06-02 12:02 - 2015-06-02 12:05 - 00000000 ____D C:\Users\Анон\AppData\Roaming\Browsers
      2015-06-02 12:02 - 2015-06-02 12:02 - 00000000 ____D C:\Users\Анон\AppData\Roaming\SPI
      EmptyTemp:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.


    1. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите FixerBro
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы нажмите на кнопку "Проверить"
    5. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
    6. По окончанию сканирования нажмите на кнопку "Отчет".
    7. Сохраните лог утилиты
    8. Прикрепите сохраненный отчет в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  21. Это понравилось:


  22. #20
    Junior Member Репутация
    Регистрация
    19.11.2014
    Сообщений
    30
    Вес репутации
    35
    После перезагрузки по скрипту - зараза осталась.(то есть заново вручную дом.страницу вводить пришлось и сохранение вкладок) Вот логи и отчет
    А вот еще что - после вчерашнего удаления firefox и стирания файлов с диска d, все установилось по умолчанию заново на С, но со всеми моими расширениями,паролями и закладками, наверное там, в профиле, засела эта зараза..
    Вложения Вложения
    Последний раз редактировалось Nokian; 07.06.2015 в 09:22.

  • Уважаемый(ая) Nokian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 05.06.2015, 01:45
    2. Ответов: 9
      Последнее сообщение: 26.05.2015, 23:28
    3. Ответов: 10
      Последнее сообщение: 10.09.2014, 18:51
    4. Ответов: 13
      Последнее сообщение: 02.08.2013, 15:05
    5. Ответов: 7
      Последнее сообщение: 13.02.2013, 00:07

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00292 seconds with 20 queries