Показано с 1 по 19 из 19.

Вирус - ненужные спам программы, реклама в соц сетях и ютубе (заявка № 196820)

  1. #1
    Junior Member Репутация
    Регистрация
    03.02.2016
    Сообщений
    9
    Вес репутации
    7

    Вирус - ненужные спам программы, реклама в соц сетях и ютубе

    После установки нехорошей программки начали устанавливаться куча ненужных прог, такие как поиск мэил, амиго, "интернет", одноклассники и прочая чушь. В новостной ленте вк все забито рекламой типа "Путин в Пекине ШОК!!!" так же на ютубе заменяются слайды с видео на рекламу типа Путина. В расширениях хрома автоматически ставятся расширения от мэила "визуальные закладки и т.п." так же появилось одно расширение которое я не ставил - Anti-obscene, которое так просто не удалишь (установлено в соответствии с корпоративным правилом). вроде всё
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) Gigo, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Здравствуйте!

    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     QuarantineFileF('c:\users\дмитрий\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
     QuarantineFile('C:\Program Files\D9993940-1454259498-11E0-AF2C-BCAEC5B8547E\knskE83E.tmpfs', '');
     QuarantineFile('C:\Program Files\D9993940-1454259498-11E0-AF2C-BCAEC5B8547E\hnsp2D41.tmp', '');
     QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '');
     QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\Microsoft\Egnmnq.exe', '');
     QuarantineFileF('C:\Users\Дмитрий\AppData\Local\SystemMonitor2016\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\ScreenSaverPro.scr', '');
     QuarantineFile('C:\Users\Дмитрий\AppData\Local\Hostinstaller\2821182674_monster.exe', '');
     QuarantineFile('C:\Users\Дмитрий\appdata\roaming\daemon2.exe', '');
     QuarantineFileF('C:\Program Files\Mobogenie\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     QuarantineFileF('C:\Users\Дмитрий\appdata\roaming\aspackage\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     DeleteFile('C:\Program Files\D9993940-1454259498-11E0-AF2C-BCAEC5B8547E\knskE83E.tmpfs', '32');
     DeleteFile('C:\Program Files\D9993940-1454259498-11E0-AF2C-BCAEC5B8547E\hnsp2D41.tmp', '32');
     DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '32');
     DeleteFile('C:\Users\Дмитрий\AppData\Roaming\Microsoft\Egnmnq.exe', '32');
     DeleteFile('C:\Users\Дмитрий\AppData\Roaming\ScreenSaverPro.scr', '32');
     DeleteFile('C:\Users\Дмитрий\AppData\Local\Hostinstaller\2821182674_monster.exe', '32');
     DeleteFile('C:\Users\Дмитрий\appdata\roaming\daemon2.exe', '32');
     ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
     DeleteService('pupyjuxezbt');
     DeleteService('wucotusy');
     DeleteFileMask('c:\users\дмитрий\appdata\local\hostinstaller', '*', true);
     DeleteDirectory('c:\users\дмитрий\appdata\local\hostinstaller');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Egnmnq', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Screen Saver Pro 3.1', 'command');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    aspackage - деинсталируйте.

    SystemMonitor2016 - вам знакомо?

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    03.02.2016
    Сообщений
    9
    Вес репутации
    7
    "virusinfo_auto_имя_вашего_ПК.zip" загружаю свой файл и бесконечная загрузка
    SystemMonitor2016 - не знакомо
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от Gigo Посмотреть сообщение
    "virusinfo_auto_имя_вашего_ПК.zip" загружаю свой файл и бесконечная загрузка
    закачайте архив на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) ссылку на скачивание пришлите в ЛС.


    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     QuarantineFileF('C:\Users\Дмитрий\AppData\Local\SystemMonitor2016\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
     DeleteFileMask('C:\Users\Дмитрий\AppData\Local\SystemMonitor2016\', '*', true);
     DeleteDirectory('C:\Users\Дмитрий\AppData\Local\SystemMonitor2016\');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive', 'command');
     ClearHostsFile;
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  7. #6
    Junior Member Репутация
    Регистрация
    03.02.2016
    Сообщений
    9
    Вес репутации
    7
    насчет двух файлов AdwCleaner - S2 создан ДО перезагрузки, С1 после
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.



    что с проблемой?

  9. #8
    Junior Member Репутация
    Регистрация
    03.02.2016
    Сообщений
    9
    Вес репутации
    7
    амиго и его друзья пока не показывались
    остались проблемы в браузере (реклама в новостной ленте вк, замена слайдов в ютубе, левое расширение)
    добавил скрины вирусов
    Изображения Изображения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

  11. #10
    Junior Member Репутация
    Регистрация
    03.02.2016
    Сообщений
    9
    Вес репутации
    7
    вот
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Java 7 Update 60 - деинсталируйте.
    Skype Click to Call - также рекомендую деинсталировать.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarCraft II\StarCraft II.lnk', '');
     QuarantineFile('C:\Users\Public\Desktop\StarCraft II.lnk', '');
     QuarantineFile('C:\ProgramData\vPmQrxOO\jZUoxl2.bat', '');
     QuarantineFile('C:\ProgramData\IqZMVoPPeo\oaarilzU3.bat', '');
     QuarantineFileF('C:\ProgramData\vPmQrxOO', '*', true, '', 0, 0);
     QuarantineFileF('C:\ProgramData\IqZMVoPPeo', '*', true, '', 0, 0);
     DeleteFile('C:\ProgramData\vPmQrxOO\jZUoxl2.bat', '');
     DeleteFile('C:\ProgramData\IqZMVoPPeo\oaarilzU3.bat', '');
     DeleteFileMask('C:\ProgramData\vPmQrxOO', '*', true);
     DeleteFileMask('C:\ProgramData\IqZMVoPPeo', '*', true);
     DeleteDirectory('C:\ProgramData\vPmQrxOO');
     DeleteDirectory('C:\ProgramData\IqZMVoPPeo');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код:
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarCraft II\StarCraft II.lnk
    C:\Users\Public\Desktop\StarCraft II.lnk
    Программы от Iobit используете?
    Если нет, то:

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    start
    CreateRestorePoint:
    HKU\S-1-5-21-3508318417-3259659139-2140720452-1000\...\MountPoints2: {37b577fa-7ae0-11e4-8afe-c8d3a383e281} - G:\AutoRun.exe
    HKU\S-1-5-21-3508318417-3259659139-2140720452-1000\...\MountPoints2: {7209652a-ceba-11e3-aef7-bca4b8a6674e} - G:\AutoRun.exe
    HKU\S-1-5-21-3508318417-3259659139-2140720452-1000\...\MountPoints2: {d119ed8e-8ad2-11e4-987b-c8d3a383e281} - H:\LGAutoRun.exe
    HKU\S-1-5-21-3508318417-3259659139-2140720452-1000\...\MountPoints2: {f357443b-afa2-11e3-b52e-a0f72545fa45} - G:\setup.exe
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    CHR HKU\S-1-5-21-3508318417-3259659139-2140720452-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    URLSearchHook: HKU\S-1-5-21-3508318417-3259659139-2140720452-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} -  No File
    SearchScopes: HKU\S-1-5-21-3508318417-3259659139-2140720452-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B64AF9D95-334C-42E4-BF61-F9F1E3EA0728%7D&gp=820483
    2016-01-31 21:06 - 2016-01-31 21:06 - 00000000 ____D C:\Users\Дмитрий\AppData\LocalLow\IObit
    2016-01-31 21:05 - 2016-01-31 21:07 - 00000000 ____D C:\Users\Все пользователи\IObit
    2016-01-31 21:05 - 2016-01-31 21:07 - 00000000 ____D C:\ProgramData\IObit
    2016-01-31 21:05 - 2016-01-31 21:05 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
    2016-01-31 21:05 - 2016-01-31 21:05 - 00000000 ____D C:\Users\Все пользователи\ProductData
    2016-01-31 21:05 - 2016-01-31 21:05 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
    2016-01-31 21:05 - 2016-01-31 21:05 - 00000000 ____D C:\ProgramData\ProductData
    2016-01-31 21:05 - 2016-01-31 21:05 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
    2016-01-31 21:05 - 2016-01-31 21:05 - 00000000 ____D C:\Program Files\Common Files\IObit
    2016-01-31 20:54 - 2016-01-31 20:54 - 00000000 ____D C:\Users\Все пользователи\vPmQrxOO
    2016-01-31 20:54 - 2016-01-31 20:54 - 00000000 ____D C:\ProgramData\vPmQrxOO
    2016-01-31 20:53 - 2016-01-31 20:53 - 00000000 ____D C:\Users\Все пользователи\Lyrvsj
    2016-01-31 20:53 - 2016-01-31 20:53 - 00000000 ____D C:\Users\Все пользователи\IqZMVoPPeo
    2016-01-31 20:53 - 2016-01-31 20:53 - 00000000 ____D C:\Users\Все пользователи\bZHqjPElaG
    2016-01-31 20:53 - 2016-01-31 20:53 - 00000000 ____D C:\ProgramData\Lyrvsj
    2016-01-31 20:53 - 2016-01-31 20:53 - 00000000 ____D C:\ProgramData\IqZMVoPPeo
    2016-01-31 20:53 - 2016-01-31 20:53 - 00000000 ____D C:\ProgramData\bZHqjPElaG
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

  13. #12
    Junior Member Репутация
    Регистрация
    03.02.2016
    Сообщений
    9
    Вес репутации
    7
    Iobit - появился вместе с вирусом, сделал всё как посоветовали
    p.s 1) в вк реклама исчезла только слева, в новостной ленте по прежнему есть.
    2)расширение anti-obscene по прежнему стоит в браузере и нельзя удалить
    3) в ютубе по прежнему реклама (какая именно указывал выше)
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Скачайте свежую версию AdwCleaner и сделайте лог.

    + свежие логи FRST.

  15. #14
    Junior Member Репутация
    Регистрация
    03.02.2016
    Сообщений
    9
    Вес репутации
    7
    свежачок
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    где остальное?

    - - - - -Добавлено - - - - -

    Цитата Сообщение от Gigo Посмотреть сообщение
    2)расширение anti-obscene по прежнему стоит в браузере и нельзя удалить
    ID расширения там около него не указано?

  17. #16
    Junior Member Репутация
    Регистрация
    03.02.2016
    Сообщений
    9
    Вес репутации
    7
    что еще должно быть по FRST?

    вот ID: npdpaabpkcahccgoakgkgjfgalcpfhlb
    скрин прикрепил для подтверждения
    Изображения Изображения

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Цитата Сообщение от Gigo Посмотреть сообщение
    что еще должно быть по FRST?
    по FRST вообще-то должно быть ещё два лога, но помимо FRST я у вас просил

    Цитата Сообщение от regist Посмотреть сообщение
    Скачайте свежую версию AdwCleaner и сделайте лог.

  19. #18
    Junior Member Репутация
    Регистрация
    03.02.2016
    Сообщений
    9
    Вес репутации
    7
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    start
    CreateRestorePoint:
    CHR Extension: (Anti-obscene) - C:\Users\Дмитрий\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\npdpaabpkcahccgoakgkgjfgalcpfhlb [2016-01-31]
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    проверьте проблему.

Похожие темы

  1. Устанавливаются ненужные программы сами по себе
    От Илья Бабаков в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 31.10.2015, 20:27
  2. Ответов: 22
    Последнее сообщение: 23.06.2015, 09:08
  3. Ответов: 2
    Последнее сообщение: 19.03.2014, 14:46
  4. КАК удалить ненужные сервичы и программы из Vista?
    От digitally uknown в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 02.02.2010, 12:48
  5. КАК удалить ненужные сервичы и программы из Vista?
    От digitally uknown в разделе Помогите!
    Ответов: 0
    Последнее сообщение: 02.02.2010, 12:48

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00800 seconds with 17 queries