Поймал в интернете вирус и теперь почти на каждом сайте, в правом верхнем углу появляется реклама.
Поймал в интернете вирус и теперь почти на каждом сайте, в правом верхнем углу появляется реклама.
Уважаемый(ая) Владимир Ляликов, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
HiJackThis профиксить
AVZ выполнить следующий скрипт.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://cosmosearch.ru/?ri=1&rsid=c9b2f2eff421fff6d049d90be94f447d&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://cosmosearch.ru/?ri=1&rsid=c9b2f2eff421fff6d049d90be94f447d&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?un_449343_3345 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?un_449343_3345 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cosmosearch.ru/?ri=1&rsid=c9b2f2eff421fff6d049d90be94f447d&q= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://cosmosearch.ru/?ri=1&rsid=c9b2f2eff421fff6d049d90be94f447d&q= R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\bsdriver'); RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\bsdriver\Parameters'); StopService('bsdriver'); StopService('cherimoya'); StopService('Pednici'); StopService('QMUdisk'); StopService('softaal'); StopService('tsnethlpx64'); StopService('WdMan'); DeleteService('bsdriver'); DeleteService('cherimoya'); DeleteService('Pednici'); DeleteService('QMUdisk'); DeleteService('softaal'); DeleteService('tsnethlpx64'); DeleteService('WdMan'); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUdisk64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\softaal64.sys',''); QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys',''); QuarantineFile('C:\Program Files\Sound+\Sound+.exe',''); QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe',''); QuarantineFile('C:\ProgramData\MwvCNsVEX\FnTvNbjZRS5.bat',''); QuarantineFile('c:\programdata\twdmt\wdman.exe',''); QuarantineFile('C:\PROGRA~1\GROOVE~1\Finvogm.bat',''); QuarantineFile('C:\Users\USER\AppData\Local\B73689A2-1456780655-E311-A968-201A0632D540\Uninstall.exe',''); QuarantineFile('C:\Users\USER\AppData\Local\Hostinstaller\2686055642_monster.exe',''); QuarantineFile('C:\Users\USER\AppData\Roaming\RaedNihxa\Enoef.exe',''); QuarantineFile('C:\Users\USER\appdata\roaming\texteditor\daemon\texteditor.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\bsdriver.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\cherimoya.sys',''); QuarantineFile('C:\WINDOWS\system32\SAsrv.exe',''); QuarantineFile('C:\WINDOWS\system32\searchprotectservice.exe',''); QuarantineFile('C:\WINDOWS\syswow64\searchprotectservice.exe',''); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\softaal64.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys','32'); DeleteFile('C:\Program Files\Sound+\Sound+.exe','32'); DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32'); DeleteFile('C:\ProgramData\MwvCNsVEX\FnTvNbjZRS5.bat','32'); DeleteFile('c:\programdata\twdmt\wdman.exe','32'); DeleteFile('C:\PROGRA~1\GROOVE~1\Finvogm.bat','32'); DeleteFile('C:\Users\USER\AppData\Local\Hostinstaller\2686055642_monster.exe','32'); DeleteFile('C:\Users\USER\AppData\Roaming\RaedNihxa\Enoef.exe','32'); DeleteFile('C:\Users\USER\appdata\roaming\texteditor\daemon\texteditor.exe','32'); DeleteFile('C:\WINDOWS\system32\drivers\bsdriver.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\cherimoya.sys','32'); DeleteFile('C:\WINDOWS\system32\searchprotectservice.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Cuncu','64'); DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer','64'); DeleteFile('C:\WINDOWS\system32\Tasks\{7358FF0A-9577-455D-A7DC-B36648229E28}','64'); DeleteFile('C:\WINDOWS\syswow64\searchprotectservice.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Sound+'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Приложите новый лог AVZ.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Карантин отправил, вот лог.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.>>> Подозрение на маскировку ключа реестра службы\драйвера "bsdriver"
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделал
Выполните скрипт в uVS:
- Подготовьте лог AdwCleaner и приложите его в теме.Код:;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v385c OFFSGNSAVE BREG deldir %SystemDrive%\PROGRAMDATA\MWVCNSVEX delref %SystemDrive%\PROGRAMDATA\YIESUJOPR\TANTDO0.BAT deldir %SystemDrive%\PROGRAMDATA\YIESUJOPR zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\爱应用PC版\卸载爱应用PC版.LNK delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\爱应用PC版\卸载爱应用PC版.LNK del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\爱应用PC版\卸载爱应用PC版.LNK deldir %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\爱应用PC版 deldir %SystemDrive%\PROGRAM FILES (X86)\爱应用PC版 deldir %SystemDrive%\PROGRAM FILES\GROOVER290220161818 unload %Sys32%\DRIVERS\BSDRIVER.SYS zoo %Sys32%\DRIVERS\BSDRIVER.SYS delref %Sys32%\DRIVERS\BSDRIVER.SYS del %Sys32%\DRIVERS\BSDRIVER.SYS addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A43D5AF29BD8003A6C3573E559D492B80849FC2A149FA1D8FE872956AB02C2D77A42FC7062273 64 not-a-virus:NetTool.Win64.NetFilter.o restart
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделал
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Удалил, но реклама все равно есть
- Сделайте лог Check Browsers' LNK и приложите его в теме.
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Вот два. Третий не загрузился из-за размера
Заархивируйте в zip FRST.txt и приложите.
P.S. Удалите старые вложения Мой кабинет => Вложения
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Все, получилось
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION Folder: C:\WINDOWS\system32\oze 2016-02-29 22:16 - 2016-02-29 22:16 - 00000000 ____D C:\Users\Все пользователи\xfjaLbG 2016-02-29 22:16 - 2016-02-29 22:16 - 00000000 ____D C:\Users\USER\AppData\Roaming\gplyra 2016-02-29 22:16 - 2016-02-29 22:16 - 00000000 ____D C:\uninst 2016-02-29 22:16 - 2016-02-29 22:16 - 00000000 ____D C:\ProgramData\xfjaLbG 2016-02-29 21:17 - 2016-02-29 21:17 - 00000000 ____D C:\ProgramData\ProductData 2016-02-29 21:17 - 2016-02-29 21:17 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} 2016-02-29 21:16 - 2016-03-01 14:37 - 00000000 ____D C:\Users\USER\AppData\Local\Hostinstaller 2016-02-29 21:15 - 2016-02-29 21:17 - 00000000 ____D C:\Users\USER\AppData\Roaming\TextEditor 2016-02-29 21:14 - 2016-03-01 14:40 - 00000000 ____D C:\Users\USER\AppData\Local\SaveYouTime 2016-02-29 21:13 - 2016-03-01 14:03 - 00000000 ____D C:\Program Files\ContentProtector 2016-02-29 21:13 - 2016-02-16 20:13 - 00058200 _____ C:\WINDOWS\system32\Drivers\ContentProtectorDrv.sys 2016-02-29 21:12 - 2016-02-29 21:17 - 00000000 ____D C:\Users\USER\AppData\LocalLow\Unity 2016-02-29 21:12 - 2016-02-29 21:17 - 00000000 ____D C:\Users\USER\AppData\Local\Unity 2016-02-29 21:12 - 2016-02-29 21:13 - 00000000 ____D C:\Users\USER\AppData\Roaming\MailProducts Folder: C:\Users\USER\AppData\Local\osu! 2015-11-13 23:21 - 2015-11-13 23:21 - 0000000 ____H () C:\ProgramData\DP45977C.lfl Task: {001DC46C-8A5A-4983-99F1-5403D4D76CA0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {06F90D47-8513-43AD-ABD0-627D55CB4087} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {19ED5BCA-1525-4A63-8C53-8C3E74F8CEA8} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION Task: {2275CB1C-2EA2-4A2A-B7F6-166C3D363822} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {2B7A732C-93C5-4F34-9628-924E73F1A780} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {3D84F37F-E331-41C9-AF44-6BCB1D1D362C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {5C59AB0D-1AD2-4930-B600-CFD1F7B721C7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {8266C324-F235-445B-AEA4-50867A51A3C0} - \Cuncu -> No File <==== ATTENTION Task: {8977108A-7A43-4789-A400-2CD91A980A86} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {9E20B7E5-F1FD-479C-91CF-616DE9FFCA30} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {C53EF79B-DA2C-4A7A-878A-60BE6434CF1E} - \{7358FF0A-9577-455D-A7DC-B36648229E28} -> No File <==== ATTENTION Task: {D7259666-3B2B-44AC-A324-59D31E399835} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {F598679F-5F37-4652-A073-5F2BBDE3A70E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Shortcut: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\ProgramData\MwvCNsVEX\FnTvNbjZRS5.bat (No File) [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\cpuminer] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\Sound+] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\SpaceSoundPro] SearchScopes: HKU\S-1-5-21-387925801-3787463459-801703382-1001 -> {A1F01C4C-C21C-4711-BDB4-DB7655B8B762} URL = EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Спасибо огромное! Проблема решена, вот лог.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: C:\WINDOWS\system32\oze Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Приложите новый лог AVZ.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 0
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Владимир Ляликов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.