Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Браузерный вирус (may be) #2 (заявка № 199510)

  1. #1
    Junior Member Репутация
    Регистрация
    13.04.2016
    Сообщений
    16
    Вес репутации
    7

    Thumbs up Браузерный вирус (may be) #2

    Доброго времени суток, ув.специалиты! Мой аккаунт, видимо, самоуничтожился из-за использования Тор. Но реально на него вирус не распространяется, а на остальных всё виснет. Продолжение темы http://virusinfo.info/showthread.php?t=199483. Добавляю требуемый лог и старые ложу:
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) omoloy4, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,449
    Вес репутации
    730
    ProxyOverride = 127.0.0.1 - сами прописывали?

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Google Chrome.lnk', '');
     QuarantineFile('C:\Documents and Settings\All Users\Рабочий стол\Google Chrome.lnk', '');
     QuarantineFile('C:\Documents and Settings\UserXP\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
     QuarantineFile('C:\Documents and Settings\UserXP\Application Data\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk', '');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk', '');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Start Tor Browser.lnk', '');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Internet Explorer.lnk', '');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\ICQ\Портал Mail.Ru.lnk', '');
     QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Стандартные\Служебные\Internet Explorer (без надстроек).lnk', '');
     QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Start Tor Browser.lnk', '');
     QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Browsers\Internet Explorer.lnk', '');
     QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Browsers\Mozilla Firefox.lnk', '');
     QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Browsers\Opera 18.lnk', '');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Mozilla Firefox.lnk', '');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Opera 24.lnk', '');
     QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera 36.lnk', '');
     QuarantineFile('C:\DOCUME~1\9335~1\91BD~1\6CB9~1\GOALUN~1.URL', '');
     QuarantineFile('C:\DOCUME~1\9335~1\91BD~1\6CB9~1\GOALUN~2.URL', '');
     QuarantineFile('C:\DOCUME~1\9335~1\91BD~1\6CB9~1\POWERR~1.URL', '');
     QuarantineFile('C:\DOCUME~1\9335~1\91BD~1\6CB9~1\____#-~1.URL', '');
     QuarantineFile('C:\DOCUME~1\9335~1\91BD~1\6CB9~1\63C33~1.URL', '');
     QuarantineFileF('C:\Program Files\WinTsks\WinTsks\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     DeleteFileMask('C:\Program Files\WinTsks\WinTsks\', '*', true);
     DeleteDirectory('C:\Program Files\WinTsks\WinTsks\');
     ExecuteFile('schtasks.exe', '/delete /TN "WinTsks" /F', 0, 15000, true);
     ExecuteRepair(3);
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Профиксите в HijackThis
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{882A5C59-7DE1-4537-9A70-4C83AD5EEF1B}: NameServer = 82.163.143.177,82.163.142.179
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9B8628A6-2EC2-4381-8281-7C171BB8B0B4}: NameServer = 82.163.143.177,82.163.142.179
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CFA8BA49-F554-4A4E-ACE8-D875FC214339}: NameServer = 82.163.143.177,82.163.142.179

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


    сделайте лог HiJackThis 2.0.6 Alfa 1.8

    - - - - -Добавлено - - - - -

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    13.04.2016
    Сообщений
    16
    Вес репутации
    7

    вот, пожалуйста

    Воу! Я уже пишу с браузера! Пропали попадосы
    ProxyOverride = 127.0.0.1 вроде не прописывал, может когда с Денвером игрался?

    Высылаю результаты, жду вердикт. Еще вижу у меня там ошиваются обломки Файн Ридера, который давно и неудачно был удален. Его можно HijackThisом фиксануть?
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,449
    Вес репутации
    730
    Программы/расширения от Mail.ru используете?
    orbitdownloader - используете?

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    13.04.2016
    Сообщений
    16
    Вес репутации
    7
    Да нет, это всё впаренно было, да так, чтоб не отказался

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,449
    Вес репутации
    730
    Профиксите в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
    • В меню Настройки отметьте:
      • Сброс политик IE
      • Сброс политик Chrome
    • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    + сделайте лог этой утилитой https://technet.microsoft.com/ru-ru/.../bb963902.aspx

  11. #8
    Junior Member Репутация
    Регистрация
    13.04.2016
    Сообщений
    16
    Вес репутации
    7

    добиваем

    AdwCleaner (by Xplode) нечего не нашел, но я всё равно нажал удалить, в процесс выскочило окошко (оно, кстати и в первый раз было)
    netsh.exe-не удалось найти компонент:
    Приложению не удалось запуститься, поскольку framedyn.dll не был найден. повторная установка приложения может исправить ошибку.
    Тогда я подумал, что это не критично (И счас так думаю)

    У Autoruns только кнопка сохранить и файл в формате arn получился больше 4 МБ, кинул на ЯндексДиск
    https://yadi.sk/d/15REXAU_qz4ZT

    Пробовал в HijackThis фикснуть остатки ФайнРидера, не выходит
    Вложения Вложения

  12. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,449
    Вес репутации
    730
    Цитата Сообщение от omoloy4 Посмотреть сообщение
    AdwCleaner (by Xplode) нечего не нашел, но я всё равно нажал удалить, в процесс выскочило окошко (оно, кстати и в первый раз было)
    netsh.exe-не удалось найти компонент:
    Пожалуйста,

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
    • В меню Настройки отметьте:
      • "Включить отладочный режим"
    • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    После этого прикрепите отчёт C:\AdwCleaner\AdwCleaner_dbg_xxxxxx.log

    - - - - -Добавлено - - - - -

    + пожалуйста, папки
    Код:
    C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\SystemExplorerDisabled		
    C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\SystemExplorerDisabled
    заархивируйте в архив, загрузите на ЯД и ссылку пришлите мне в ЛС.

    + Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

  13. #10
    Junior Member Репутация
    Регистрация
    13.04.2016
    Сообщений
    16
    Вес репутации
    7
    Отправил

    Опп-па, заметил не тот файл получился, нужно AdwCleaner_dbg_xxxxxx.log
    Но там только C и S с расширением .txt
    Вложения Вложения
    Последний раз редактировалось omoloy4; 14.04.2016 в 21:53.

  14. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,449
    Вес репутации
    730
    Цитата Сообщение от omoloy4 Посмотреть сообщение
    Опп-па, заметил не тот файл получился, нужно AdwCleaner_dbg_xxxxxx.log
    а галочку в опциях как просил поставили? Если не поставили, то указанного файла и не будет. Вместо xxxxxx там должно быть цифры с датой создания.

  15. #12
    Junior Member Репутация
    Регистрация
    13.04.2016
    Сообщений
    16
    Вес репутации
    7
    да, проверил - стоит отладочный режим

  16. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,449
    Вес репутации
    730
    PicPick, Auslogics BoostSpeed, Auslogics Disk Defrag - нежелательное ПО, советую деинсталируйте.
    Unity - если сами не ставили, то тоже.


    +
    Выполните скрипт в uVS
    Код:
    ;uVS v3.87.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    BREG
    zoo %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
    bl 64D3E77771581CC077A381B6051C8443 45128
    delall %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDCOMPROXY.DLL
    bl 650420C600A71FE6CE6113CEB1305A5B 70600
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDCOMPROXY.DLL
    delall HTTP://GO.MAIL.RU/SEARCH?Q={SEARCHTERMS}&FR=NTG&GP=PROFITRAF7
    delall HTTP://GO.MAIL.RU/SEARCH?Q={SEARCHTERMS}&UTF8IN=1&FR=IETB
    delall HTTP://MAIL.RU/CNT/10445?GP=PROFITRAF7
    delall HTTP://WEBSEARCH.ASK.COM/REDIRECT?CLIENT=IE&TB=SPC2&O=15000&SRC=CRM&Q={SEARCHTERMS}&LOCALE=RU_US&APN_PTNRS=PV&APN_DTID=YYYYYYYYUA&APN_UID=8E611F23-7F3C-41BB-BAF5-4557C8487E75&APN_SAUID=57E2E216-CE01-49F9-BFC0-1A9B7426EBEC
    delall HTTP://WEBSEARCH.GOODFORSEARCH.INFO/?PID=24062&R=2015/05/08&HID=1985263850312402165&LG=EN&CC=UA&UNQVL=86&L=1&Q=
    delall HTTP://WWW.MAIL.RU/CNT/9514
    delall HTTP://WWW.MAIL.RU/CNT/9516
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\LOCAL SETTINGS\APPLICATION DATA\MAIL.RU\MAILRUUPDATER.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ВОЙТИ В ИНТЕРНЕТ.LNK
    bl FAD61D985939C91276354DA9FE2DB11F 2126
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ВОЙТИ В ИНТЕРНЕТ.LNK
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\ИНТЕРНЕТ\ВОЙТИ В ИНТЕРНЕТ.LNK
    bl 7944E9BE831A06F15FAE2C10A508CDC0 2138
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\ИНТЕРНЕТ\ВОЙТИ В ИНТЕРНЕТ.LNK
    delref HTTP:\\WWW.MAIL.RU
    delall HTTP://WWW.ASK.COM/?L=DIS&O=15003
    regt 27
    czoo
    restart

  17. Это понравилось:


  18. #14
    Junior Member Репутация
    Регистрация
    13.04.2016
    Сообщений
    16
    Вес репутации
    7
    PicPick, Auslogics BoostSpeed, Auslogics Disk Defrag - удалил, хотя не думал никогда, что такая мелочь как PicPick может сильно вонять
    Unity - мой, сам ставил
    Лог приложил

    Еще иногда (обычно после перезагрузки) при нажатии на правую кнопку мышки выскакивает маленькое окно
    ABBYY FineReader 10
    Some files are corrupted. Please reinstall ABBYY FineReader 10
    Не получается его добить, пробовал всякие деинсталляторы

  19. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,449
    Вес репутации
    730
    Цитата Сообщение от omoloy4 Посмотреть сообщение
    Не получается его добить, пробовал всякие деинсталляторы
    выполните скрипт uVS

    Код:
    ;uVS v3.87.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    BREG
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\ABBYY\FINEREADER\10.00\LICENSING\PE\NETWORKLICENSESERVER.EXE
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\ABBYY\FINEREADER\10.00\LICENSING\PE\NETWORKLICENSESERVER.EXE
    deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\ABBYY\FINEREADER\
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\ABBYY FINEREADER 10\ABBYY SCREENSHOT READER.LNK
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\ABBYY FINEREADER 10\ABBYY SCREENSHOT READER.LNK
    restart
    что с проблемой?

    - - - - -Добавлено - - - - -

    + свежий лог uVS сделайте

  20. #16
    Junior Member Репутация
    Регистрация
    13.04.2016
    Сообщений
    16
    Вес репутации
    7
    Have done. Лог добавил, окно еще выскакивает

  21. #17

  22. #18
    Junior Member Репутация
    Регистрация
    13.04.2016
    Сообщений
    16
    Вес репутации
    7
    Кину сюда, пароль вирус
    Последний раз редактировалось regist; 15.04.2016 в 20:19. Причина: карантин в теме

  23. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,449
    Вес репутации
    730
    Карантин в теме выкладывать запрещено.

    И я просил вас прикрепить свежий лог, а не карантин.

  24. #20
    Junior Member Репутация
    Регистрация
    13.04.2016
    Сообщений
    16
    Вес репутации
    7
    Ая-яй, прошу прощения
    Вложения Вложения

  • Уважаемый(ая) omoloy4, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Браузерный вирус (may be)
      От omoloy в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 13.04.2016, 12:14
    2. браузерный вирус
      От Valery Laso в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 28.03.2016, 00:56
    3. Браузерный вирус
      От captainacrobat в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 15.12.2015, 15:36
    4. Рекламный/Браузерный вирус.
      От Kutkh в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 14.07.2014, 22:46
    5. Браузерный вирус
      От user1212 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.04.2014, 11:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01405 seconds with 17 queries