Показано с 1 по 13 из 13.

Вирус от пакета Майл.ru (Амиго, одноклассники, War Thunder и другие) (заявка № 201396)

  1. #1
    Junior Member Репутация
    Регистрация
    19.11.2012
    Сообщений
    14
    Вес репутации
    19

    Вирус от пакета Майл.ru (Амиго, одноклассники, War Thunder и другие)

    Пожалуйста, помогите!


    Хотела скачать фотошоп, загрузила вирус, который начал загружать разные программы. На рабочем столе сразу же начали появляться программы : амиго, скайп, интернет (через браузер которого только начали открываться окна) и другие.
    Сразу все медленно стало работать. Такое уже у меня было на виндовс XP (сейчас мне переустановили систему на Виндовс 7), тогда кроме программ еще и при открытии браузера начали открываться разные окна с рекламой.

    Мне переустановили систему, но вирус этот я опять подцепила. Все процессы работают очень медленно. Боюсь, что заново еще куча рекламы будет.

    Проверяю на доктор веб и аваст (бесплатные утилиты). Доктор веб нашел только сначала 2 трояна при первой загрузке программ (амиго, скайп, интернет (через браузер которого начал открываться интернет) и другие).

    На следующий день после загрузки компьютера, окно браузера (Мозила) закрылось, а на рабочем столе появилось 5 программ Star Conflict, Black Desert, Aliexpress,War Thunder, Новости.

    Еще загружала SpyHunter , он обнаруживал 14-16 инфекций, но удалить их не могу, так как бесплатная утилита только обнаруживает их.
    На доктор веб проверила – ничего не обнаружил
    Касперский обнаружил 1 вирус
    Аваст -2 вируса
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) Лиличка, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\Users\Лилия\AppData\Local\Adobe\PPAPI\820EA155-EAB2-4259-A91F-B2D85CB4EC8C\9DCD7E19-7AB8-4CAA-B080-581FED6610CD.exe', '');
     QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '');
     QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
     QuarantineFile('c:\users\лилия\appdata\local\temp\5AA21B5B-BB1C4933-11D2BC00-D4CF396E\295bac98b.sys', '');
     DeleteFile('C:\Users\Лилия\AppData\Local\Adobe\PPAPI\820EA155-EAB2-4259-A91F-B2D85CB4EC8C\9DCD7E19-7AB8-4CAA-B080-581FED6610CD.exe', '32');
     DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
     DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
     DeleteFile('c:\users\лилия\appdata\local\temp\5AA21B5B-BB1C4933-11D2BC00-D4CF396E\295bac98b.sys', '32');
     DeleteFileMask('c:\users\лилия\appdata\local\adobe\ppapi', '*', true);
     DeleteFileMask('c:\program files\kinoroom browser', '*', true);
     DeleteFileMask('c:\programdata\krb updater utility', '*', true);
     DeleteDirectory('c:\users\лилия\appdata\local\adobe\ppapi');
     DeleteDirectory('c:\program files\kinoroom browser');
     DeleteDirectory('c:\programdata\krb updater utility');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A820EA155-EAB2-4259-A91F-B2D85CB4EC8C" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '820EA155-EAB2-4259-A91F-B2D85CB4EC8C');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kinoroom Browser', 'command');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    19.11.2012
    Сообщений
    14
    Вес репутации
    19
    Добрый вечер!
    Очень ждала ответ от Вас, но по ходу первый раз я решила проблему посредством данной инструкции [deleted], затем второй раз неудачно скачала фотошоп (видимо не судьба мне найти нормальный). Также сделала по инструкции, но мучает меня подозрение о наличии "остаточного" вирусняка.

    Присылаю заново логи.
    Прикреплю ниже скрип.
    Вложения Вложения
    Последний раз редактировалось Vvvyg; 20.06.2016 в 19:52.

  6. #5
    Junior Member Репутация
    Регистрация
    19.11.2012
    Сообщений
    14
    Вес репутации
    19

    Лог AdwCleaner (by Xplode) и файл virusinfo_syscheck.zip.

    Прикрепляю лог AdwCleaner (by Xplode) и файл virusinfo_syscheck.zip.

    - - - - -Добавлено - - - - -

    Прикрепляю логи обновленные, сделанные до сообщения " Лог AdwCleaner (by Xplode) и файл virusinfo_syscheck.zip. ", так как мое прикрепленное сообщение на модерации, не знаю, появится или нет. Надеюсь, что это сразу появится (то сообщение было без заголовка).

    Далее, после проверки AdwCleaner (by Xplode), я удалила программку, которая там высветилась Mail.ruUpdater (так вроде называлась), ПК перезагрузила. Удалила так как по ходу из-за нее у меня выбросило из вк, и страница вк начала бесконечно обновляться. После удаления и перезагрузки пк, в вк зашла спокойно!

    Надеюсь, что все почистила, но закрадывается сомнение в том, что еще "вирусняка" осталась какая-то.

    Прикрепляю также последний отчет AdwCleaner (by Xplode) после перезагрузки
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    Отключите до перезагрузки все экраны Avast и выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFile('C:\Users\Лилия\AppData\Local\Adobe\PPAPI\820EA155-EAB2-4259-A91F-B2D85CB4EC8C\9DCD7E19-7AB8-4CAA-B080-581FED6610CD.exe', '32');
     DeleteFileMask('c:\users\лилия\appdata\local\adobe\ppapi', '*', true);
     DeleteDirectory('c:\users\лилия\appdata\local\adobe\ppapi');
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A820EA155-EAB2-4259-A91F-B2D85CB4EC8C" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '820EA155-EAB2-4259-A91F-B2D85CB4EC8C');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Кроме уже установленных, отметьте галочками также "90 Days Files".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  8. #7
    Junior Member Репутация
    Регистрация
    19.11.2012
    Сообщений
    14
    Вес репутации
    19
    Скрипт выполнила, не совсем понятна вторая часть сообщения.

    Какую программу надо запустить?
    "Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Кроме уже установленных, отметьте галочками также "90 Days Files".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве). "

    После перезагрузки ПК (до скрипта) появились другие вкладки в Firefox, а Avast выдает вирус.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    Пропустил одну строку

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    FRST.EXE - 32-Bit version скачивайте.
    WBR,
    Vadim

  10. #9
    Junior Member Репутация
    Регистрация
    19.11.2012
    Сообщений
    14
    Вес репутации
    19

    Отчеты FRST

    Прикрепляю отчеты в архиве FRST.txt и Addition.txt
    Вложения Вложения
    • Тип файла: rar FRST.rar (14.9 Кб, 1 просмотров)

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKLM\...\Policies\Explorer\Run: [SafeBrowser] => C:\Users\Лилия\AppData\Local\Microsoft\Extensions\extsetup.exe
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    HKU\S-1-5-21-4094910620-3212449545-3554385183-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811013
    FF HKLM\...\Firefox\Extensions: [{4BB2519D-F03A-C29B-482C-B46E9BEC7C3F}] - C:\Users\Лилия\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found
    FF HKLM\...\Firefox\Extensions: [{0206027F-010D-4DBF-2115-9491C72B8C72}] - C:\Users\Лилия\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found
    FF HKLM\...\Firefox\Extensions: [{21244DCC-488E-5606-9D7C-3A15B19D73EA}] - C:\Users\Лилия\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\sbext@slext.dev => not found
    S4 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
    S4 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
    S2 mrupdsrv; "C:\Program Files\Mail.Ru\Update Service\mrupdsrv.exe" --s [X]
    Task: {182BFB51-D70D-4626-80A9-236ECBACBAAF} - System32\Tasks\MailRuUpdater => C:\Users\Лилия\AppData\Local\Mail.Ru\MailRuUpdater.exe
    Task: {3EC7AE19-CF84-4713-9BB1-600438B1B9E2} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe
    Task: {C3D04B24-B605-40A6-B3D0-A6741ECE4826} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe
    C:\Users\Лилия\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
    C:\Users\Лилия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
    FirewallRules: [{E684EABB-BF00-4B28-BDB0-6DF0671A5B6F}] => (Allow) C:\Program Files\UBar\ubar.exe
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки все экраны Avast, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите, что с проблемой.
    WBR,
    Vadim

  12. #11
    Junior Member Репутация
    Регистрация
    19.11.2012
    Сообщений
    14
    Вес репутации
    19

    Fixlog

    Здравствуйте!
    Извините, что так долго отвечаю.

    Проблема в принципе исчезла, проблема насчет вкладок майла, которые появились в Firefox, была решена так: нашла в настройках очистить Firefox, все исчезло, все работает.

    Сделала Fixlog, прикрепляю в этом сообщении.
    Хочу отметить, что ПК после создания Fixlog не перезагружался, а программа FRST по окончании выдала ошибку.
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,591
    Вес репутации
    836
    Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.

  14. Это понравилось:


  15. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Лиличка, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 16
      Последнее сообщение: 13.02.2016, 20:24
    2. Амиго, одноклассники и т.д.
      От nikto nikto в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.01.2016, 20:05
    3. Ответов: 9
      Последнее сообщение: 22.12.2015, 08:51
    4. Ответов: 8
      Последнее сообщение: 03.07.2014, 14:09
    5. Ответов: 2
      Последнее сообщение: 18.11.2013, 19:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01219 seconds with 17 queries