-
Junior Member
- Вес репутации
- 37
Вредоносные программы
Здравствуйте!
Последние несколько дней, при запуске компьютера, открывается браузер с автоматически появляющимися вкладками:
(httр://time-to-read.ru/?utm_source=uoua03n&utm_content=1f1a7d4e6784534601 121b44b7be8052&utm_term=ABE6F46C514B42C1871880CA4B AE300F&utm_d=20160613) и
(httр://winhunters.com/clbv/p7231/?goto=sitereg&mir=1&page=1&atp=282&plid=1219&bnid= 5489&popup=0)
Так же на компьютере обнаружены различные антивирусы, браузеры и плагины от сторонних разработчиков (Mail.ru и т.д.), а антивирус находит вирусные файлы и трояны.
Пожалуйста помогите очистить компьютер, логи ниже
Последний раз редактировалось mrak74; 16.06.2016 в 09:39.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ovchinnikovkp, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте !!!
отключите антивирусную программу
Пофиксите в HijackThis: (в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Код:
O2 - BHO: SearchBarBHO - {598AEFC6-DD3C-4A63-9AC3-53FCF6155931} - (no file)
O3 - Toolbar: (no name) - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - (no file)
O4 - HKLM\..\RunOnce: [{2CC4BBE8-3A75-4D1B-BDC3-A681BAE1AEE2}] cmd.exe /C start /D "C:\Users\dns1\AppData\Local\Temp" /B {2CC4BBE8-3A75-4D1B-BDC3-A681BAE1AEE2}.cmd
O4 - HKCU\..\Run: [lomtwmobfg] explorer "http://chatozov.ru/?utm_source=uoua03n&utm_content=1f1a7d4e6784534601121b44b7be8052&utm_term=ABE6F46C514B42C1871880CA4BAE300F&utm_d=20160613"
O4 - HKCU\..\RunOnce: [extsetup] "C:\Users\dns1\AppData\Local\Microsoft\Extensions\extsetup.exe" /S
O4 - HKLM\..\Policies\Explorer\Run: [2671C499-F9C3-43D7-90BE-1B3E42C730B2] "C:\ProgramData\Microsoft\Adobe\Flash Player\2671C499-F9C3-43D7-90BE-1B3E42C730B2\1A49A839-D2D5-418F-A848-2E751EA89A07.exe" -startup
Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files (x86)\Windows Live\Installer\wlarp.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
QuarantineFile('C:\Users\dns1\AppData\Roaming\uTorrent\googleupd.exe','');
QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\2671C499-F9C3-43D7-90BE-1B3E42C730B2\1A49A839-D2D5-418F-A848-2E751EA89A07.exe','');
QuarantineFile('C:\Users\dns1\AppData\Local\Microsoft\Extensions\extsetup.exe','');
DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\2671C499-F9C3-43D7-90BE-1B3E42C730B2\1A49A839-D2D5-418F-A848-2E751EA89A07.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','32');
DeleteFile('C:\Users\dns1\AppData\Roaming\uTorrent\googleupd.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A2671C499-F9C3-43D7-90BE-1B3E42C730B2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\extsetup','64');
DeleteFile('C:\Users\dns1\appdata\local\microsoft\extensions\extsetup.exe','32');
DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lomtwmobfg');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','extsetup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2671C499-F9C3-43D7-90BE-1B3E42C730B2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 37
Карантин вроде прислал, но при фиксе HiJack-ом, я не нашёл строк:
- O4 - HKLM\..\RunOnce: [{2CC4BBE8-3A75-4D1B-BDC3-A681BAE1AEE2}] cmd.exe /C start /D "C:\Users\dns1\AppData\Local\Temp" /B {2CC4BBE8-3A75-4D1B-BDC3-A681BAE1AEE2}.cmd
- O4 - HKCU\..\RunOnce: [extsetup] "C:\Users\dns1\AppData\Local\Microsoft\Extensions\ extsetup.exe" /S
- O4 - HKLM\..\Policies\Explorer\Run: [2671C499-F9C3-43D7-90BE-1B3E42C730B2] "C:\ProgramData\Microsoft\Adobe\Flash Player\2671C499-F9C3-43D7-90BE-1B3E42C730B2\1A49A839-D2D5-418F-A848-2E751EA89A07.exe" -startup
Логи:
-
Сообщение от
ovchinnikovkp
но при фиксе HiJack-ом, я не нашёл строк:
Да, такое иногда возможно.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 37
-
Судя по неоднократным запускам программы AdwCleaner, наверное Вы ею что-то почистили, покажите лог очистки, тот в котором указано что удалено.
+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 37
-
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
Task: {08611671-C3D4-49C9-8F25-6C3425007784} - \fupdate -> No File <==== ATTENTION
Task: {13B0EF81-D2FE-4ECD-9140-64F37EFFDA97} - \Microsoft\Windows\A2671C499-F9C3-43D7-90BE-1B3E42C730B2 -> No File <==== ATTENTION
Task: {296B37A7-B22E-49EC-AC67-A0CFAB40A165} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {2D23BE63-44AE-47C9-83ED-A8B111209CF7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {3843E750-BB9C-45DD-BBA4-E4C5B18A7AB9} - System32\Tasks\Steam-S-1-8-22-9865GUI => C:\Users\dns1\AppData\Roaming\Steam\Reversed\steam.exe <==== ATTENTION
Task: {3E456C7B-BEDF-4F4C-B0B6-D0FA58BDF1C9} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {44E6A4EB-E9A8-49B1-9401-79F09C9A9A44} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {548F9BF7-1354-432F-AABB-7133173DFA7B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {62CA3D1F-8D7B-4D1C-B416-E0CF44839119} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {62EF8724-2571-4AFE-95CF-0DDDC82D462C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {85B6E7A0-50F0-4685-82A8-AE56B18E94ED} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {89836E64-A53E-4FB0-B7E1-649C4AA8C35D} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
Task: {8F0C4CE7-D9DE-4E51-8F11-34227817D351} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {92B9A6A1-EB80-427E-9BEB-CC2D746B3867} - \GoogleUpdateTaskUserS-1-5-21-1970835742GUI -> No File <==== ATTENTION
Task: {9CABAA1F-A59C-4D85-8328-9143547DFCBB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {A7DA1E33-3EDB-4314-9AA6-FED85FEA8A1A} - \ScriptWriter -> No File <==== ATTENTION
Task: {CC9211D4-0B1A-4445-9F63-50558A973D42} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {D53111C2-310B-43D7-97F5-EAF7A844E887} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {D93383B2-38C7-46EE-8E33-F65FAD988845} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {F62F92E8-0F9A-48EB-94E7-61CE4DCF8851} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
EmptyTemp:
Reboot:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 37
Извиняюсь за задержку, вот лог
-
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Junior Member
- Вес репутации
- 37
Проблема решена, спасибо большое!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-