Здравствуйте,опера открывает сайты Time to read,казино вулкан и другие сайты,стало много рекламы на страницах,компьютер стал немного медленее работать
Здравствуйте,опера открывает сайты Time to read,казино вулкан и другие сайты,стало много рекламы на страницах,компьютер стал немного медленее работать
Уважаемый(ая) Domien, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
1. Выполните скрипт AVZ:
Компьютер перезагрузится.Код:begin StopService('Ea3Host'); DeleteService('Ea3Host'); TerminateProcessByName('c:\users\Артем\appdata\roaming\enigma software group\sh_installer.exe'); TerminateProcessByName('C:\Windows\System32\Ea3Host.exe'); QuarantineFile('C:\Users\328F~1\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat',''); QuarantineFile('C:\Users\Артем\appdata\roaming\curl\curl_7_54.exe',''); QuarantineFile('C:\Users\Артем\AppData\Local\yc\Application\yc.exe',''); QuarantineFile('C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe',''); QuarantineFile('c:\users\Артем\appdata\roaming\enigma software group\sh_installer.exe',''); QuarantineFile('C:\Windows\System32\Ea3Host.exe',''); DeleteFile('C:\Users\328F~1\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat','32'); DeleteFile('C:\Windows\System32\Ea3Host.exe','32'); DeleteFile('c:\users\Артем\appdata\roaming\enigma software group\sh_installer.exe','32'); //DeleteFile('C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys','32'); DeleteFile('C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe','32'); DeleteFile('C:\Users\Артем\AppData\Local\yc\Application\yc.exe','32'); DeleteFile('C:\Users\Артем\appdata\roaming\curl\curl_7_54.exe','32'); DeleteFileMask('C:\Users\Артем\AppData\Local\yc','*',true); DeleteFileMask('C:\Users\Артем\appdata\roaming\curl','*',true); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nsnrijpqeq','command'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина - quarantine.zip. Прикрепите его по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine .zip'); end.
2. Пофиксить в HijackThis следующие строчки:
Код:O4 - MSConfig\startupreg: [Realtek_HD_Audio_Driver] C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe (file missing) (HKCU) (2017/09/07) O4 - MSConfig\startupreg: [nsnrijpqeq] C:\Windows\explorer.exe "http://epsinve.ru/?utm_source=uoua03&utm_content=4d0eb7bd664500cadb96689ee0cf3a1c&utm_term=59E90831D63D5C257DF64115636FD608&utm_d=20170907" (HKCU) (2017/09/07) O4 - MSConfig\startupreg: [ycAutoLaunch_68699A97CE4C312F95E3C2FEA0A9A51E] C:\Users\Артем\AppData\Local\yc\Application\yc.exe /prefetch:5 (HKCU) (2017/09/07) O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 178.132.6.57 O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 193.238.153.54 O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 46.101.28.31 O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 52.56.51.39 O17 - HKLM\System\CSS\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 82.202.226.203 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 178.132.6.57 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 193.238.153.54 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 46.101.28.31 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 52.56.51.39 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 82.202.226.203 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 178.132.6.57 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 193.238.153.54 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 46.101.28.31 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 52.56.51.39 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C494133B-56A5-4C51-A2EA-6F02F2E396D4}: NameServer = 82.202.226.203 O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
3. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.
4. Подготовьте и прикрепите лог сканирования Malwarebytes AdwCleaner
5. Повторите логи согласно правилам и прикрепите их следующим сообщением.
Последний раз редактировалось trueCrypt; 09.09.2017 в 01:10.
Карантин отправил,все сделал по инструкции
Не прикрепили новые логи.
Что с проблемой?5. Повторите логи согласно правилам и прикрепите их следующим сообщением.
Опера все так же открывает не желательные сайты
вот новые логи
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
вот архив
1.Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Cохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:Start:: CreateRestorePoint: GroupPolicy: Restriction <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=59E90831D63D5C257DF64115636FD608&utm_d=20170907" FF HKU\S-1-5-21-1026869792-3129990513-3949884669-1000\...\Firefox\Extensions: [[email protected]] - C:\Users\Артем\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found FF Plugin HKU\S-1-5-21-1026869792-3129990513-3949884669-1000: @acestream.net/acestreamplugin,version=3.1.12.1 -> C:\Users\Артем\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File] Task: {5A593550-94F9-4202-9243-4F13E0C8F470} - \Windows_Antimalware_Host -> No File <==== ATTENTION EmptyTemp: Reboot: end::
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
2.Если после выполнения 1 пункта опера продолжит открывать нежелательные сайты, отключите все расширения в Opera, если проблема пропадет, включайте по одному и проверяйте эффект.
Просьба сообщить по результатам.
спасибо большое,помогло!!!оказывается все дело в расширении было,откючил его
Отлично! Какое именно расширение вызывало проблемы?
На этом все.
В завершение:
Рекомендую выполнить скрипт AVZ для поиска уязвимостей:
Внимание! Скрипт необходимо выполнять при наличие доступа в интернет.
По завершению его работы, если будут обнаружены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
А так же, ознакомиться с:
Советы и рекомендации после лечения компьютера.
Последний раз редактировалось trueCrypt; 12.09.2017 в 21:22.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\users\артем\appdata\local\yc\application\yc.exe - UDS:DangerousObject.Multi.Generic
Уважаемый(ая) Domien, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.