Шпион(вирус)

**Александр94** · 22.02.2016, 19:35

приветствую всех!
меня суда направили с другого форума.
постараюсь выложить всю суть проблемы вкратце.
на моём ноутбуке появился вирус (шпион)
заразила ноут девушка перед уездом и вот так нежданно-негаданно он обнаружился спустя пол года.
т.е была информация у неё что я делаю в соц-сетях что я гуглю и всё что связанно с поисковиком.
посоветовали программу adwcleaner - почистил.
на ноуте нету и не было антивируса.так как посещаю тока официальные страницы (YouTube,Vk и т.п)
как избавится от шпиона подскажите?
на борту уже имею программу AVZ4
предоставлю любые скрины и т.п
жду помощи!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.02.2016, 19:36

Уважаемый(ая) Александр94, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Александр94** · 22.02.2016, 19:49

Ошибка обновления выскакивает.всё делал по инструкции

**Vvvyg** · 23.02.2016, 22:37

Не нужно переименовывать логи, приложите файл virusinfo_syscheck.zip.

**Александр94** · 24.02.2016, 12:11

не смог редактировать шапку.

**Vvvyg** · 24.02.2016, 12:43

Если Вы упаковали файл virusinfo_syscheck.xml - это ничего не меняет. Должен быть ещё файл virusinfo_syscheck.htm. Ищите его, либо переделайте лог и предоставьте файл virusinfo_syscheck.zip, который будет сформирован программой AVZ. Ещё одна неудачная попытка - буду просить модераторов закрыть тему.

Правила оформления запроса.

**Александр94** · 24.02.2016, 13:15

как я засуну htm файл если он не хочет загружаться на форум ?

**Vvvyg** · 24.02.2016, 13:50

Теперь лишний файл в архив запихнули

Не надо ничего лишнего делать, архив .zip сам формируется...

Уведомление

Внимание !!! База поcледний раз обновлялась 04.09.2015 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.45

Обновите базы и переделайте логи.

**Александр94** · 24.02.2016, 14:03

Подскажите !
что может быть не так?
базу обновлял и ошибку выдаёт
Скрин ошибки выложил выше

**Vvvyg** · 24.02.2016, 15:21

Скачайте такую версию AVZ (обновлять базы не требуется) и Выполните скрипт в AVZ:

Код:

begin
ExecuteWizard('SCU',2,2,true);
ExecuteWizard('TSW',2,2,true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Смените пароли на почту и соцсети.

**Александр94** · 24.02.2016, 15:41

всё сделал как вы сказали
лог из AVZ4 правильно ?

**Vvvyg** · 24.02.2016, 16:15

Правильно, но не той версией, что я просил...

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Александр94** · 24.02.2016, 16:24

WinRAR архив
надеюсь я вас правильно понял.
там 2 текстовых документа:
Addition,FRST.

**Vvvyg** · 24.02.2016, 21:47

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
AppInit_DLLs: C:\Program Files (x86)\KeyCryptSDK\KeyCrypt64(1).dll => No File
AppInit_DLLs-x32: C:\Program Files (x86)\KeyCryptSDK\KeyCrypt32(1).dll => No File
HKU\S-1-5-21-862558966-3821647797-383614546-1001\...\Run: [GoogleChromeAutoLaunch_C08B38C952798844734D6E962BC1D20B] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [746648 2016-02-18] (Google Inc.)
Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
Toolbar: HKLM-x32 - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
SearchScopes: HKU\S-1-5-21-862558966-3821647797-383614546-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
FF DefaultSearchEngine: Поиск@Mail.Ru
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Homepage: hxxp://www.mail.ru/cnt/9516
FF Keyword.URL: hxxp://go.mail.ru/search?fr=fftb&q=
FF Extension: Usage Statistics - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA38} [2014-03-07] [not signed]
FF Extension: Bob Helper - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA48} [2014-03-07] [not signed]
FF Extension: Homepage Guard - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA58} [2014-03-07] [not signed]
FF Extension: Express Tab - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA68} [2014-03-07] [not signed]
FF Extension: Спутник @Mail.Ru - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2013-03-17] [not signed]
FF Extension: Chameleon Bob - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{6236BA26-C117-4007-928C-DE0716C7FA78} [2014-03-07] [not signed]
CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=121124&babsrc=HP_ss_din2g&mntrId=C88F00FFB9DD1D05","","hxxp://ru.msn.com/?pc=UP97&ocid=UP97DHP"
S1 AntiLog32; \??\C:\windows\system32\drivers\AntiLog64.sys [X]
S3 keycrypt; system32\DRIVERS\KeyCrypt64.sys [X]
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Александр94** · 25.02.2016, 07:10

сделал как вы сказали, вот результат

**Vvvyg** · 25.02.2016, 10:10

Никаких шпионов в системе, остатки adware почистили.

Смените пароли на почту, соцсети, форумы. Убедитесь, что секретный вопрос, который задаётся на почтовых сервисах и прочих ресурсах при смене пароля и подозрении на взлом, из тех, на которые ответите только Вы.

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**Александр94** · 25.02.2016, 10:24

пароли меняю раз в месяц примерно.
очень странно что не чего не обнаружилось
Спасибо за проделанную работу

- - - - -Добавлено - - - - -

Можете ещё посоветовать ресурс или тему.
как в диспетчере задач снимать процесс ?
программы которые были давно удаленны постоянно автозапускаются после перезагрузки

**Vvvyg** · 25.02.2016, 10:37

Какие именно? Правильно не завершать процессы, а отключать их автозагрузку, например, утилитой msconfig. Главное - лишнего не наотключать.

Шпион(вирус) (заявка № 197410)

Опции темы