Добрый день, скачали торент файл что то запустилось, стартовая страница другая, везде вроде майл.ру, но вроде не он...
Добрый день, скачали торент файл что то запустилось, стартовая страница другая, везде вроде майл.ру, но вроде не он...
Уважаемый(ая) TGR3, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Users\admin\AppData\Local\SystemDir\nethost.exe',''); DelBHO('{2e32cfe5-df92-4ae5-b0be-609ed0df74a6}'); QuarantineFile('C:\Program Files (x86)\SaveSense\SaveSenseIE.dll',''); QuarantineFile('C:\Users\admin\AppData\Local\Kometa\kometaup.exe',''); QuarantineFile('C:\Program Files (x86)\skinapp\allnet.sys',''); TerminateProcessByName('c:\program files (x86)\skinapp\skinapp.exe'); QuarantineFile('c:\program files (x86)\skinapp\skinapp.exe',''); DeleteFile('c:\program files (x86)\skinapp\skinapp.exe','32'); DeleteFile('C:\Program Files (x86)\skinapp\allnet.sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','skinapp'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup'); DeleteFile('C:\Users\admin\AppData\Local\Kometa\kometaup.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ilaqvmjtak'); DeleteFile('C:\Program Files (x86)\SaveSense\SaveSenseIE.dll','32'); DeleteFile('C:\Users\admin\AppData\Local\SystemDir\nethost.exe','32'); DeleteFile('C:\Windows\system32\Tasks\nethost task','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вложение 586156
Вложение 586157
Сейчас компа нету под рукой, но есть кое какая инфа. Запуск проверки антивируса полная дал вот что на картинках вверху все удалил, а что майкрософтовский антивир не ловит вирусы? Такая куча или они не активированы и все нормально?
Вы пришли сюда поговорить или будете выполнять то, что Вам написали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
новые логи...
и немного поговорить, в c:\quarantine.zip там вирусы? или тело, а то я случайно открыл и каспер взвыл)))... наверно лучше поменять стандартный пароль?
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ekubosi.ru/?utm_source=startpage03&utm_content=b114da0c3ec8882d443ab608d1f4ead2&utm_term=854DB20917902C4DA5AC0078A8AE960F
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\admin\appdata\local\temp\startpm.exe',''); QuarantineFileF('C:\Users\admin\appdata\local\temp\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0); DeleteFile('C:\Users\admin\appdata\local\temp\startpm.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(3); ExecuteWizard('SCU',2,2,true); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Стандартный пароль на что ? (учетную запись ПК, архив с карантином и т.д.)
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
на пароль c:\quarantine.zip я его открыл... каспер взвыл... логи будут сейчас...
скрипт второй завис и не отвечает. ждать когда отвиснить или еще раз запустить?
тут c:\quarantine.zip вирусы компу моему основному нечего не будет? я про это интересуюсь ...
да отвис... новые логи...
не запускал, просто открыл архиы (извлек все файлы ) и каспер взвыл, вот решил поинтересоваться.
ЗЫ а где нибудь можно почитать как вы анализируете логи, чтоб самому посмотреть, или обычным юзверам-админам туда не лезть лучше?
ЗЫ2 подвисание было не просто так, файл весить 380 метров, через ссылку вверху не проходить... из-за размера куда то в другое место залить?
ЗЫ3 вроде льется, но не знаю как долго... и зальется вообще...
Последний раз редактировалось TGR3; 01.09.2015 в 11:04.
Заливать никуда не надо !!! Удалите с компьютера. Мы против общего доступа к зараженным файлам, выкладывание их в открытый интернет может привести к заражению не в чем не повинных пользователей.
http://virusinfo.info/showthread.php?t=96026 по окончанию обучения, все тайны будут ваши
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
у меня пытается залиться по ссылку вверху, но загрузка 0 процентов, но льется.
да тайн то нету... просто иногда быстрее самому посмотреть, знание есть определенные, почему бы это не изучить... новое всегда интереснее
на этом все? что то серьезное было? просто так долго лечили мы его.
Я браузер сбросил настройки все и поменял поиск по умолчанию, и думал так отдать, а тут столько зверей)))
Удаляем еще раз все что связано с SaveSense, жду новый лог AdwCleaner.[!] Папка Не Удалено : C:\Program Files (x86)\SaveSense
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
у меня не было этой папки, и в логах ее нету
я понял что из лога, но не нашел сейчас папку, а проблемы мне как казалось и не было, были проблемы со стартовой страницой, но я до лечения сбросил настройки в хроме и вроде все хорошо... еще плюс проверка антивирусом много зверей нашла.. но после этого вы и ув. thyrex помогли почистить до конца... вроде все хорошо... я так понимаю это был не вирус?
Вирус и его последствия.
Советы и рекомендации после лечения компьютера
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\savesense\savesenseie.dll - not-a-virus:AdWare.Win32.Agent.efre ( DrWEB: Adware.Shopper.363 )
- c:\users\admin\appdata\local\systemdir\nethost.exe - HEUR:Trojan.Win32.Generic
Уважаемый(ая) TGR3, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.