Доброе утро! После пользования торрентом, на столе появился полный спектр продукции мэйл ру, защитник постоянно находит угрозу, а браузер пестрит рекламой(((
Заранее спасибо за помощь
Доброе утро! После пользования торрентом, на столе появился полный спектр продукции мэйл ру, защитник постоянно находит угрозу, а браузер пестрит рекламой(((
Заранее спасибо за помощь
Уважаемый(ая) machdem, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
1. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке
* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.
2. Вы сами устанавливали это ПО?
3. Уточните, это ваши настройки DNS серверов?Код:C:\Users\Илья\AppData\Local\slack\app-2.6.3\slack.exe
Вы сами их прописали или ваш провайдер?Код:NameServer = 81.171.10.42 NameServer = 82.202.226.203 NameServer = 94.130.44.229
4. Временно отключите защитное ПО.
Выполните скрипт AVZ.
Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\users\Илья\appdata\local\yc\application\yc.exe'); TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe'); TerminateProcessByName('c:\windows\microsoft\svchost.exe'); TerminateProcessByName('c:\users\Илья\appdata\local\temp\oocs0ukrvvjd.exe'); TerminateProcessByName('c:\users\Илья\appdata\local\temp\o3swsc1ikbix.exe'); TerminateProcessByName('c:\users\Илья\appdata\local\temp\iiqwi7fwqihd.exe'); TerminateProcessByName('c:\users\Илья\appdata\roaming\microsoft\msi.exe'); StopService('SvcHost Service Host'); DeleteService('SvcHost Service Host'); QuarantineFile('c:\users\Илья\appdata\local\temp\iiqwi7fwqihd.exe',''); QuarantineFile('c:\users\Илья\appdata\local\temp\o3swsc1ikbix.exe',''); QuarantineFile('c:\users\Илья\appdata\local\temp\oocs0ukrvvjd.exe',''); QuarantineFile('c:\windows\microsoft\svchost.exe',''); QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe',''); QuarantineFile('C:\Users\Илья\appdata\roaming\microsoft\msi.exe',''); QuarantineFile('C:\Program Files (x86)\YiuAskU2\GXMiyrk.dll',''); QuarantineFileF('C:\Program Files (x86)\YiuAskU2', '*', false, '', 0, 0); QuarantineFile('C:\Program Files (x86)\YiuAskU\ED4avar.dll',''); QuarantineFileF('C:\Program Files (x86)\YiuAskU', '*', false, '', 0, 0); QuarantineFile('C:\Users\75BD~1\AppData\Roaming\setupsk\ml.py',''); QuarantineFileF('C:\Users\75BD~1\AppData\Roaming\setupsk', '*', false, '', 0, 0); QuarantineFile('C:\Users\Илья\AppData\Local\ifgker\ifgker.exe',''); QuarantineFileF('C:\Users\Илья\AppData\Local\ifgker', '*', false, '', 0, 0); QuarantineFile('C:\Users\Илья\AppData\Roaming\curl\curl_7_54.exe',''); QuarantineFile('C:\Users\Илья\AppData\Roaming\curl\curl.exe',''); QuarantineFile('C:\Users\Илья\AppData\Local\yc\Application\yc.exe',''); QuarantineFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\libegl.dll',''); QuarantineFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\chrome_elf.dll',''); QuarantineFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\chrome_child.dll',''); QuarantineFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\chrome.dll',''); QuarantineFile('c:\users\Илья\appdata\local\yc\application\yc.exe',''); DeleteFile('c:\users\Илья\appdata\local\temp\iiqwi7fwqihd.exe','32'); DeleteFile('c:\users\Илья\appdata\local\temp\o3swsc1ikbix.exe','32'); DeleteFile('c:\users\Илья\appdata\local\temp\oocs0ukrvvjd.exe','32'); DeleteFile('c:\windows\microsoft\svchost.exe','32'); DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32'); DeleteFile('c:\users\Илья\appdata\local\yc\application\yc.exe','32'); DeleteFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\chrome.dll','32'); DeleteFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\chrome_child.dll','32'); DeleteFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\chrome_elf.dll','32'); DeleteFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\libegl.dll','32'); DeleteFile('C:\Users\Илья\AppData\Local\yc\Application\56.0.2924.76\libglesv2.dll','32'); DeleteFileMask('C:\Users\Илья\AppData\Local\yc','*',true); DeleteDirectory('C:\Users\Илья\AppData\Local\yc'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_1A2ECEBD8CAF628B0ABCC52539410BED'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uqicximtdz'); DeleteFile('C:\Windows\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B.job','32'); DeleteFile('C:\Windows\system32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B','64'); DeleteFile('C:\Windows\system32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2','64'); DeleteFile('C:\Windows\system32\Tasks\curl','64'); DeleteFile('C:\Users\Илья\AppData\Roaming\curl\curl.exe','32'); DeleteFile('C:\Users\Илья\AppData\Roaming\curl\curl_7_54.exe','32'); DeleteFile('C:\Windows\system32\Tasks\curls','64'); DeleteFileMask('C:\Users\Илья\AppData\Roaming\curl','*',true); DeleteDirectory('C:\Users\Илья\AppData\Roaming\curl'); DeleteFile('C:\Windows\system32\Tasks\ifgker','64'); DeleteFile('C:\Users\Илья\AppData\Local\ifgker\ifgker.exe','32'); DeleteFileMask('C:\Users\Илья\AppData\Local\ifgker','*',true); DeleteDirectory('C:\Users\Илья\AppData\Local\ifgker'); DeleteFile('C:\Windows\system32\Tasks\MSI','64'); DeleteFile('C:\Users\Илья\AppData\Roaming\Microsoft\msi.exe','32'); DeleteFile('C:\Windows\system32\Tasks\setupsk','64'); DeleteFile('C:\Users\75BD~1\AppData\Roaming\setupsk\ml.py','32'); DeleteFile('C:\Users\75BD~1\AppData\Roaming\setupsk\python\pythonw.exe','32'); DeleteFileMask('C:\Users\75BD~1\AppData\Roaming\setupsk','*',true); DeleteDirectory('C:\Users\75BD~1\AppData\Roaming\setupsk'); DeleteFile('C:\Windows\system32\Tasks\setupsk_upd','64'); DeleteFile('C:\Windows\system32\Tasks\U2_2C6A44CB-AD42-4731-A544-3FBD3D83AB5B','64'); DeleteFile('C:\Program Files (x86)\YiuAskU2\GXMiyrk.dll','32'); DeleteFileMask('C:\Program Files (x86)\YiuAskU2','*',true); DeleteDirectory('C:\Program Files (x86)\YiuAskU2'); DeleteFile('C:\Program Files (x86)\YiuAskU\ED4avar.dll','32'); DeleteFileMask('C:\Program Files (x86)\YiuAskU','*',true); DeleteDirectory('C:\Program Files (x86)\YiuAskU'); ExecuteSysClean; ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('TSW',2,3,true); ExecuteWizard('SCU',2,2,true); RebootWindows(true); end.
Выполните скрипт AVZ.
5. Пришлите архив карантина из папки AVZ.Код:begin CreateQurantineArchive(GetAVZDirectory +'quarantine.zip'); end.
6. Сделайте новые логи программой Autologger и пришлите их.
7. Сделайте лог утилитой AdwCleaner и пришлите его.
8. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Последний раз редактировалось Vvvyg; 19.07.2017 в 22:15.
В режиме инкогнито рекламы нет, а в обычном...
- - - - -Добавлено - - - - -
слак мой, остальное нет
- - - - -Добавлено - - - - -
карантин загружен 170719_225856_quarantine_596fba00d5f1e
- - - - -Добавлено - - - - -
Вроде все прикрепил
1. Удалите в AdwCleaner всё найденное. Отчет после удаления прикрепите.
2. Выполните скрипт AVZ.
и перезагрузите компьютер вручную.Код:begin ExecuteRepair(21); end.
3. Присланный файл Addition.txt неполный, в нем меньше половины. Пришлите полный файл. Возможно, придется переделать логи Farbar
4. Отключите все расширения в Chrome, затем включайте по одному и наблюдайте за проблемой.
Все еще актуально
Ответ в сообщении №5
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\yiuasku\iw3d7ud.dll - not-a-virus:AdWare.Win32.Neoreklami.gnm
- c:\program files (x86)\yiuasku2\81q7xn9.dll - not-a-virus:AdWare.Win32.Neoreklami.gnx ( BitDefender: Gen:Variant.Barys.6979 )
- c:\users\илья\appdata\roaming\microsoft\msi.exe - HEUR:Trojan.Win32.Generic
- c:\windows\microsoft\svchost.exe - Trojan.Win32.SelfDel.fyox
- c:\windows\microsoft\svchost.exe.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.cwo
Уважаемый(ая) machdem, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.