Самопроизвольно открываются окна с предложением что-то установить и также открываются вкладки в браузере с рекламой.
Для устранения проблемы применялись KVRT и AdwCleaner.
Заранее благодарю за уделенное внимание.
Самопроизвольно открываются окна с предложением что-то установить и также открываются вкладки в браузере с рекламой.
Для устранения проблемы применялись KVRT и AdwCleaner.
Заранее благодарю за уделенное внимание.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) argnist, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\gmsd_re_005010031\gmsd_re_005010031.exe',''); SetServiceStart('wafd_vt_1_10_0_20', 4); DeleteService('wafd_vt_1_10_0_20'); QuarantineFile('C:\WINDOWS\system32\Drivers\Eguktegl120.sys',''); DeleteService('Jealik'); SetServiceStart('weevdabjiy', 4); DeleteService('weevdabjiy'); SetServiceStart('Unchecky', 4); DeleteService('Unchecky'); SetServiceStart('suqysebo', 4); DeleteService('suqysebo'); QuarantineFile('C:\Documents and Settings\All Users\Application Data\JaufOwetg\CuggOpuj.exe',''); SetServiceStart('lielosott', 4); DeleteService('lielosott'); SetServiceStart('JuhwiRotd', 4); DeleteService('JuhwiRotd'); SetServiceStart('dituvesy', 4); DeleteService('dituvesy'); QuarantineFile('C:\WINDOWS\system32\drivers\wafd_vt_1_10_0_20.sys',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\JaufOwetg\tooadcohu.dll',''); TerminateProcessByName('c:\program files\unchecky\bin\unchecky_bg.exe'); TerminateProcessByName('c:\program files\unchecky\bin\unchecky_svc.exe'); TerminateProcessByName('c:\documents and settings\all users\application data\jaufowetg\tooawcoh.exe'); QuarantineFile('c:\documents and settings\all users\application data\jaufowetg\tooawcoh.exe',''); TerminateProcessByName('c:\documents and settings\all users\application data\jaufowetg\tooadcoh.exe'); QuarantineFile('c:\documents and settings\all users\application data\jaufowetg\tooadcoh.exe',''); TerminateProcessByName('c:\documents and settings\all users\application data\jaufowetg\tooaacoh.exe'); QuarantineFile('c:\documents and settings\all users\application data\jaufowetg\tooaacoh.exe',''); TerminateProcessByName('c:\program files\03000200-1436431994-0500-0006-000700080009\knssa84.tmp'); QuarantineFile('c:\program files\03000200-1436431994-0500-0006-000700080009\knssa84.tmp',''); TerminateProcessByName('c:\documents and settings\Администратор\application data\03000200-1436431994-0500-0006-000700080009\knshb2.tmpfs'); QuarantineFile('c:\documents and settings\Администратор\application data\03000200-1436431994-0500-0006-000700080009\knshb2.tmpfs',''); TerminateProcessByName('c:\documents and settings\all users\application data\jaufowetg\cuggopuj.exe'); QuarantineFile('c:\documents and settings\all users\application data\jaufowetg\cuggopuj.exe',''); DeleteFile('c:\documents and settings\all users\application data\jaufowetg\cuggopuj.exe','32'); DeleteFile('c:\documents and settings\Администратор\application data\03000200-1436431994-0500-0006-000700080009\knshb2.tmpfs','32'); DeleteFile('c:\program files\03000200-1436431994-0500-0006-000700080009\knssa84.tmp','32'); DeleteFile('c:\documents and settings\all users\application data\jaufowetg\tooaacoh.exe','32'); DeleteFile('c:\documents and settings\all users\application data\jaufowetg\tooadcoh.exe','32'); DeleteFile('c:\documents and settings\all users\application data\jaufowetg\tooawcoh.exe','32'); DeleteFile('c:\program files\unchecky\bin\unchecky_bg.exe','32'); DeleteFile('c:\program files\unchecky\bin\unchecky_svc.exe','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\JaufOwetg\tooadcohu.dll','32'); DeleteFile('C:\WINDOWS\system32\drivers\wafd_vt_1_10_0_20.sys','32'); DeleteFile('C:\Documents and Settings\All Users\Application Data\JaufOwetg\CuggOpuj.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_re_005010031'); DeleteFile('C:\Program Files\gmsd_re_005010031\gmsd_re_005010031.exe','32'); DeleteFile('C:\WINDOWS\Tasks\bYj8ajAIsrw2Ypmcvu7Y.job','32'); DeleteFile('C:\WINDOWS\Tasks\VxgQRgMl008gDmCwlxQL.job','32'); DeleteFile('C:\WINDOWS\Tasks\WxL4RyYVJaa4ap9GTS5.job','32'); DeleteFile('C:\WINDOWS\Tasks\yDeazbt8bBCftVK.job','32'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\nshE49.tmp\blowfish.dll','32'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\nsx1C9.tmp\blowfish.dll','32'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\nsxBB.tmp\blowfish.dll','32'); DeleteFile('C:\Program Files\anyprotectex\anyprotect.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин у меня почему-то оказался пустым.
Прилагаю свежие файлы согласно правил.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Владелец зараженного компьютера говорит, что уже всё хорошо и отказывается от подключения для проверки MBAM, ссылаясь на занятость.
Спасибо за помощь, тему можно закрывать/удалять.
Ну тогда скажите, что в случае рецидива мы имеем право отказать в помощи, как незакончившему лечение
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добился, вот лог.
Удалите в МВАМ все найденное
+ Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прошу.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe http://www.mystartsearch.com/?type=sc&ts=1436956233&z=218a2323744838a13f83cb9g4z0caq7t1w9q8o1g7w&from=cmi&uid=WDCXWD5000AARS-003BB1_WD-WCAV5K12097820978 2015-07-12 12:27 - 2015-07-12 12:27 - 00000000 _____ C:\Documents and Settings\Администратор\Local Settings\Temp.dat 2015-07-12 12:25 - 2015-07-16 18:05 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\JaufOwetg 2015-07-12 12:25 - 2015-07-12 12:25 - 00004560 _____ C:\WINDOWS\system32\Jealik.ini 2015-07-12 12:25 - 2015-07-12 12:25 - 00002248 _____ C:\WINDOWS\system32\JealikOff.ini 2015-07-12 12:25 - 2015-07-12 12:25 - 00000000 ____D C:\Documents and Settings\Администратор\Local Settings\Application Data\uqecuif 2015-07-12 12:17 - 2015-07-16 18:01 - 00000000 ____D C:\Program Files\d34404b2-6260-4b21-b5c8-ccb94a466007 2015-07-12 12:16 - 2015-07-15 16:08 - 00000000 ____D C:\Program Files\b02a12cb-7733-4642-ba8a-808c63e6ebb1 2015-07-10 10:45 - 2015-07-15 16:08 - 00000000 ____D C:\Program Files\e386ab01-0b03-4413-af8d-e2f83f02c424 2015-07-10 10:42 - 2015-07-16 18:01 - 00000000 ____D C:\Program Files\c2e3959d-f75d-43de-8650-ebaa6e43dda0 2015-07-09 12:11 - 2015-07-16 18:01 - 00000000 ____D C:\Program Files\57b0355e-8c66-4830-a64e-d9be45361068 2015-07-09 12:08 - 2015-07-15 16:08 - 00000000 ____D C:\Program Files\4823a52a-7575-444a-9a29-26bb7721a2e9 2015-07-17 16:43 - 2015-04-19 15:20 - 00000626 _____ C:\Documents and Settings\Администратор\Application Data\yDeazbt8bBCftVK 2015-07-17 16:43 - 2015-04-19 15:20 - 00000626 _____ C:\Documents and Settings\Администратор\Application Data\WxL4RyYVJaa4ap9GTS5 2015-07-17 16:43 - 2015-04-19 15:20 - 00000626 _____ C:\Documents and Settings\Администратор\Application Data\VxgQRgMl008gDmCwlxQL 2015-07-17 16:43 - 2015-04-19 15:20 - 00000626 _____ C:\Documents and Settings\Администратор\Application Data\bYj8ajAIsrw2Ypmcvu7Y Reboot:
- Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ваши права в разделе
Ответить с цитированием
