Теперь браузер подгружает всякие "интересные" страницы, которые я не запрашивал, странице на localhost то обновляются, то нет.
Все утилиты прогнал, пока проблема осталась
Теперь браузер подгружает всякие "интересные" страницы, которые я не запрашивал, странице на localhost то обновляются, то нет.
Все утилиты прогнал, пока проблема осталась
Уважаемый(ая) Михаил_Б, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('HSystem'); DeleteService('HSystem'); QuarantineFile('C:\Program Files (x86)\Defsoft\kPpWuA.exe',''); QuarantineFile('C:\Program Files (x86)\KC Softwares\VideoInspector\VideoInspector.exe',''); QuarantineFile('C:\ProgramData\BdKfoElnrI\ReltwBq0.bat',''); QuarantineFile('C:\ProgramData\bROeFHUUq\YtxpGUHzb5.bat',''); QuarantineFile('C:\Users\user_mike2\AppData\Local\EydKzlNSr\nLlKGbbH1.bat',''); DeleteFile('C:\Program Files (x86)\Defsoft\kPpWuA.exe','32'); DeleteFile('C:\ProgramData\BdKfoElnrI\ReltwBq0.bat','32'); DeleteFile('C:\ProgramData\bROeFHUUq\YtxpGUHzb5.bat','32'); DeleteFile('C:\Users\user_mike2\AppData\Local\EydKzlNSr\nLlKGbbH1.bat','32'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Код:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
- Сделайте лог Check Browsers' LNK и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Второй лог слишком большой получился, не дает залить на форум, расшарил с гугл драйва:
https://drive.google.com/file/d/0B0O...ew?usp=sharing
Удалите следующие ярлыки:
- Сделайте новый лог Check Browsers' LNK и приложите его в теме.Код:"C:\Users\user_mike2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk" "C:\Users\user_mike2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk" "C:\Users\Public\Desktop\Google Chrome.lnk" "C:\Users\Public\Desktop\Mozilla Firefox.lnk" "C:\Users\Public\Desktop\Opera.lnk" "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk" "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk" "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk" "C:\Users\user_mike2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk" "C:\Users\user_mike2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk" "C:\Users\user_mike2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk" "C:\Users\user_mike2\Desktop\Yandex.lnk
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
в приложении и ссылка:
https://drive.google.com/file/d/0B0O...ew?usp=sharing
Вам нужно будет вручную пересоздать ярлыки на рабочем столе для браузеров Google Chrome, Mozilla Firefox, Opera и т.п..
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
В приложении
Удалите Defsoft через установку программ в панели управления
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-2189233567-868248018-511280851-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Extension: No Name - C:\Users\user_mike2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found] FF Extension: No Name - C:\Users\user_mike2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found] FF Extension: No Name - C:\Users\user_mike2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found] FF Extension: No Name - C:\Users\user_mike2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [not found] FF Extension: Video DownloadHelper - C:\Users\user_mike2\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}.xpi [2016-01-08] CHR Extension: (Quick Searcher) - C:\Users\user_mike2\AppData\Local\Google\Chrome\User Data\Default\Extensions\dighmiipfpfdfbfmpodcmfdgkkcakbco [2016-02-05] 2016-02-12 09:50 - 2016-02-12 09:50 - 00000000 ____D C:\Users\Все пользователи\fXWbpdkZ 2016-02-12 09:50 - 2016-02-12 09:50 - 00000000 ____D C:\ProgramData\fXWbpdkZ 2016-02-05 19:31 - 2016-02-12 13:44 - 00000000 ____D C:\Users\Все пользователи\bROeFHUUq 2016-02-05 19:31 - 2016-02-12 13:44 - 00000000 ____D C:\Users\Все пользователи\BdKfoElnrI 2016-02-05 19:31 - 2016-02-12 13:44 - 00000000 ____D C:\Users\user_mike2\AppData\Local\EydKzlNSr 2016-02-05 19:31 - 2016-02-12 13:44 - 00000000 ____D C:\ProgramData\bROeFHUUq 2016-02-05 19:31 - 2016-02-12 13:44 - 00000000 ____D C:\ProgramData\BdKfoElnrI 2016-02-05 19:31 - 2016-02-09 18:45 - 00000000 ____D C:\Users\Все пользователи\ylwZJJ 2016-02-05 19:31 - 2016-02-09 18:45 - 00000000 ____D C:\Users\Все пользователи\bLOYfRoMlh 2016-02-05 19:31 - 2016-02-09 18:45 - 00000000 ____D C:\ProgramData\ylwZJJ 2016-02-05 19:31 - 2016-02-09 18:45 - 00000000 ____D C:\ProgramData\bLOYfRoMlh EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
прикладываю лог
что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Вроде ушли симптомы.
Иногда еще ругается программа 360 total security, которая поставилась примерно в одно время с трояном, не доглядел где-то наверно, галку не снял. Пытался ее удалить - не вышло. Что посоветуете - бороться с ней до победного, не обращать внимания, или наоборот прислушаться и оставить?
И второй вопрос, связанный с этим. Последнее время все работает медленнее, как ускорить систему? Проситься убрать "лишний" антивирус (год без 360 TS в общем был нормальный, первая серьезная проблема вот сейчас возникла и может с ее участием).
И может быть есть утилита, которая мониторит загрузку памяти и процессора за сутки, и выдает статистику, какая прога отъедает больше ресурсов - чтобы можно было решить, может оно того не стоит и удалить.
Уточните пожалуйста, антивирус 360 не сами ставили?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Во всяком случае, таких планов не было. Возможно, при установке какого-то ПО, антивирус этот шел как опция, и я не снял соотв. галочку.
Для помощи в удаление приложите новые логи AVZ. Если не планируете удалять то прикладывать логи не нужно.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
да, пожалуйста, хотелось бы удалить. Прикладываю логи
Сами ставили:
AVZ выполнить следующий скрипт.Код:c:\users\user_mike2\appdata\roaming\utorrent\updates\3.4.5_41712\utorrentie.exe
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('360AntiHacker'); StopService('BAPIDRV'); DeleteService('360AntiHacker'); DeleteService('BAPIDRV'); QuarantineFile('C:\Program Files (x86)\360\Total Security\ipc\appd.dll',''); QuarantineFile('C:\Program Files (x86)\360\Total Security\safemon\CleanPlusCache.tpi',''); QuarantineFile('C:\Windows\System32\Drivers\360AntiHacker64.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys',''); DeleteFile('C:\Program Files (x86)\360\Total Security\ipc\appd.dll','32'); DeleteFile('C:\Program Files (x86)\360\Total Security\safemon\CleanPlusCache.tpi','32'); DeleteFile('C:\Windows\System32\Drivers\360AntiHacker64.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32'); DeleteFileMask('C:\Program Files (x86)\360', '*', true, ' '); DeleteDirectory('C:\Program Files (x86)\360'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Код:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Пока не удалился, жив курилка.
Немного ошибся, в начале запустил первый скрипт не от администратора, потом запустил повторно. Может быть это повлияло.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: (QIHU 360 SOFTWARE CO. LIMITED) C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe HKLM-x32\...\Run: [] => [X] Folder: C:\Program Files (x86)\360 EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Приложите новый лог AVZ.
Последний раз редактировалось SQ; 16.02.2016 в 00:23.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
сделано
Уважаемый(ая) Михаил_Б, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.