Случился неприятный инцидент со взломом почты. Прошёлся Trojan Remover на всякий случай - ничего не нашёл. Высылаю лог и заранее благодарю за помощь.
Случился неприятный инцидент со взломом почты. Прошёлся Trojan Remover на всякий случай - ничего не нашёл. Высылаю лог и заранее благодарю за помощь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) OldBoy, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите HijackThis из папки Autologger и пофиксите в HijackThis (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Код:O4 - HKLM\..\Policies\Explorer\Run: [AppDownloads] "C:\Program Files (x86)\Common Files\FDB4EFBE-F91C-41D6-B2E5-E6B735D179E3\8EC70495-A38E-4A4C-B8F7-9DC7F92D0EEA.exe" /S O4-32 - HKLM\..\Policies\Explorer\Run: [AppDownloads] "C:\Program Files (x86)\Common Files\FDB4EFBE-F91C-41D6-B2E5-E6B735D179E3\8EC70495-A38E-4A4C-B8F7-9DC7F92D0EEA.exe" /S
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Высылаю архив - внутри два запрошенных txt-файла.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: FF HKLM-x32\...\Firefox\Extensions: [{FDCF5F38-87AB-7725-0968-F624BC5B5838}] - C:\Users\OldBoy\AppData\Roaming\Mozilla\Firefox\Profiles\qtjm8nlv.default\extensions\[email protected] => not found FF HKLM-x32\...\Firefox\Extensions: [{F12D8136-ED68-6AFF-7C9C-01CCC367EF04}] - C:\Users\OldBoy\AppData\Roaming\Mozilla\Firefox\Profiles\qtjm8nlv.default\extensions\[email protected] => not found FF HKLM-x32\...\Firefox\Extensions: [{6BB91F55-EE72-3901-61E5-905FA56BB066}] - C:\Users\OldBoy\AppData\Roaming\Mozilla\Firefox\Profiles\qtjm8nlv.default\extensions\[email protected] => not found FF HKLM-x32\...\Firefox\Extensions: [{2D904E04-6285-5F40-779B-40944C63B731}] - C:\Users\OldBoy\AppData\Roaming\Mozilla\Firefox\Profiles\qtjm8nlv.default\extensions\[email protected] => not found FF HKLM-x32\...\Firefox\Extensions: [{AB3D97C4-C0C3-1B7B-957E-62CB2A0C9BE7}] - C:\Users\OldBoy\AppData\Roaming\Mozilla\Firefox\Profiles\qtjm8nlv.default\extensions\[email protected] => not found FF HKLM-x32\...\Firefox\Extensions: [{BDB44CEE-012F-A1EB-779C-2EFE021F20BB}] - C:\Users\OldBoy\AppData\Roaming\Mozilla\Firefox\Profiles\qtjm8nlv.default\extensions\[email protected] => not found FF HKLM-x32\...\Firefox\Extensions: [{1619B923-70B9-EC59-FE92-366772CE074C}] - C:\Users\OldBoy\AppData\Roaming\Mozilla\Firefox\Profiles\qtjm8nlv.default\extensions\[email protected] => not found FF HKLM-x32\...\Firefox\Extensions: [{530AB657-F349-5F00-F702-61D7563FFA50}] - C:\Users\OldBoy\AppData\Roaming\Mozilla\Firefox\Profiles\qtjm8nlv.default\extensions\[email protected] => not found CHR StartupUrls: Default -> "hxxp://www.google.com","hxxp://mail.ru/cnt/10445?gp=811013" CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\55.0.2883.87\gcswf32.dll => No File CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\55.0.2883.87\ppGoogleNaClPluginChrome.dll => No File CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\55.0.2883.87\pdf.dll => No File CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.2.183.39\npGoogleOneClick8.dll => No File OPR Extension: (Smart Browser™) - C:\Users\OldBoy\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb [2016-08-08] OPR Extension: (Smart Browser™) - C:\Users\OldBoy\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-08-15] OPR Extension: (Smart Browser™) - C:\Users\OldBoy\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-07-28] 2017-01-01 02:14 - 2017-01-01 02:15 - 00504284 _____ C:\WINDOWS\Minidump\010117-47046-01.dmp 2017-01-01 02:14 - 2017-01-01 02:14 - 869238659 _____ C:\WINDOWS\MEMORY.DMP 2016-07-25 14:50 - 2016-07-25 14:50 - 0000124 ___SH () C:\Program Files (x86)\Common Files\SBEXTS 2016-04-12 19:45 - 2016-04-12 19:45 - 0000016 _____ () C:\ProgramData\mntemp Task: {0436B89B-5503-4835-82AB-24EE69F3A7B1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {08ADF0D4-D921-4FA4-B5AB-8C9282C701E9} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {0CB7BCE4-19F2-47B8-AA7F-F8DB44355843} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {0D40154B-9A46-42F1-B76B-C5715BB4C606} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {35C90B55-334D-4484-B8DB-0382440EA613} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION Task: {47E9BCBE-0602-4E0C-877A-B6B838A937B2} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION Task: {560AE93F-9C9A-4028-87A8-79DE8022F8D0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {A65D0C74-1FC9-49DF-B9EC-A21B549005A1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {A6A87FB0-E78C-4B56-A555-B4D5E9C693B7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {B36515DF-0DF6-4AED-A4BC-6D31E5C05220} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {BB48A3F2-75CD-4B6C-B13F-67B35A3D65CA} - \Microsoft\Windows\Setup\EOONotify -> No File <==== ATTENTION Task: {BF60A23B-C4A0-4438-9BC3-A4CDB0CD5938} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {CB1A7FE8-1D75-4DDA-A0FF-102191537CFF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {D1644B77-236E-4815-9499-A31D8BDD815B} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION Task: {ED7DAE24-AB00-4FBC-AD08-3B0267007983} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION Task: {F29C0A38-C223-4C80-93BE-AB0247C142A8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION C:\Users\OldBoy\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk AlternateDataStreams: C:\ProgramData\Temp:B3ED3AFF [286] MSCONFIG\startupreg: mailruhomesearch => "C:\Users\OldBoy\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred MSCONFIG\startupreg: ushpallfzy => explorer "http://cyberga.ru/?utm_source=uoua03&utm_content=f113bb38608180b86fe17118b6a40a38&utm_term=246924C7FC82BA6D2C05CBE88DD93711&utm_d=20160723" Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Сделал всё по инструкции, вот лог.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Прикладываю запрошенный лог.
Настоятельно рекомендую включить, во многих случаях откат - более простая и быстрая альтернатива переустановке системы. Ознакомьтесь: Защита и восстановление системы в Windows.Восстановление системы отключено
В остальном порядок.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) OldBoy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
