Все добрый день!
Дома 2 компьютера, на одном из них гугл постоянно просит ввести капчу. Практически каждый запрос, что очень раздражает.
Установлен последний KIS с актуальными базами.
Сделал все по инструкции.
Все добрый день!
Дома 2 компьютера, на одном из них гугл постоянно просит ввести капчу. Практически каждый запрос, что очень раздражает.
Установлен последний KIS с актуальными базами.
Сделал все по инструкции.
Уважаемый(ая) Дмитрий Славянский, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
HiJackThis профиксить
AVZ выполнить следующий скрипт.Код:O4 - HKCU\..\Run: [AceStream] C:\Users\Dmitry\AppData\Roaming\ACEStream\engine\ace_engine.exe
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Dmitry\AppData\Roaming\omiga-plus\UninstallManager.exe',''); QuarantineFile('c:\program files\intel driver update utility\sur\sursvc.exe',''); DeleteFile('C:\WINDOWS\system32\Tasks\{4B2CFEBB-D0E2-4F6F-9B5A-BCFB6A04F78E}','32'); DeleteFile('C:\Users\Dmitry\AppData\Roaming\omiga-plus\UninstallManager.exe','32'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Еще раз добры день.
К сожалению, файл по адресу C:\Users\Dmitry\AppData\Roaming\ACEStream\engine\a ce_engine.exe я удалил вчера до Вашего ответа, как итог - сегодня данного пункта в списке HiJackThis не было и профиксить его не удалось.
Все остальное сделал.
- - - - -Добавлено - - - - -
Проблема осталась..
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделал.
- - - - -Добавлено - - - - -
Проблема осталась.
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: 2016-03-09 12:34 - 2016-03-09 12:34 - 00000000 ____H C:\Users\Все пользователи\DP45977C.lfl 2016-03-09 12:34 - 2016-03-09 12:34 - 00000000 ____H C:\ProgramData\DP45977C.lfl File: C:\WINDOWS\system32\edlin.exe File: C:\WINDOWS\system32\append.exe File: C:\WINDOWS\system32\setver.exe File: C:\WINDOWS\system32\exe2bin.exe File: C:\WINDOWS\system32\nlsfunc.exe C:\Users\Dmitry\AppData\Local\Temp\tmpACEE.exe Task: {0BCC04F1-1753-4DFC-8F78-8DF2AE9AF0F3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {0D84A9BB-79DA-4A5E-BD5A-7032428687BA} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {145558DE-7005-456A-A368-D50AC7E63B5C} - \{4B2CFEBB-D0E2-4F6F-9B5A-BCFB6A04F78E} -> No File <==== ATTENTION Task: {18A54F65-F3EA-4191-8A16-441957BC30A8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {588382EA-71C5-4E02-97D7-D928C73B7906} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {6A03DC3C-228F-4B40-B244-932C2C226D72} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {76F74B8D-0987-4108-A39F-FA68E5705938} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {833371F6-27FE-44E2-AE12-24F06A5B774B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {8C2FADAE-6C0A-438C-A987-6E488082674D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {9CA1EECF-C677-4022-857C-D2B64E721DE1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {A8119A92-ADD1-48B1-85DD-4AD93DC997E8} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION Task: {AD2F9AA6-B4E3-41BA-ACB4-FF121C1F3CA2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\gmsd_ru_32] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\BNM Updater] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\BNM] Reg: reg delete "HKU\S-1-5-21-1340209330-1167133503-346636071-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\AceStream" /f Reg: reg delete "HKU\S-1-5-21-1340209330-1167133503-346636071-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\uTorrent" /f EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
готово
Очистите куки, кэш браузеров и кэш DNS (http://virusinfo.info/showthread.php?t=128635)
Сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Еще раз здравствуйте)
Капча больше не появлялась, думаю, что проблема решена. Спасибо большое за помощь!
1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.
2. Запустите DelFix.
Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run.
5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)
6. Прикрепите этот отчет в вашей теме.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Радость была недолгой) Капча вернулась.
Последние рекомендации актуальны?
Попробуйте сменить пароли на роутере (маршрутизаторе) на более сложные, чтобы исключить вариант подключения посторонних людей к интернету.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Дмитрий Славянский, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.