-
Junior Member
- Вес репутации
- 15
Помогите вилечить вирус
Здравствуйте!
В NOD 32
В яндекс браузера постоянно выскакивает "Адрес заблокирован lisgreen.biz:443" Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;И нформация;Хэш;Первое обнаружение здесь02.04.2020 14:38:27;Модуль сканирования JavaScript;файл;https://lisegreen.biz/22a616c101d18f...ware.Revizer.E приложение;заблокирован;DESKTOP-VV2BLVR\Ярослав;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Program Files (x86)\Internet Explorer\iexplore.exe (C098C6A4B5C605C42F571A0CD174AFC25BE26F63).;F43CDB 323AC8EB670A4498BF9B1EF566E8F61E5C;
А если хром
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;И нформация;Хэш;Первое обнаружение здесь
02.04.2020 7:21:11;Модуль сканирования JavaScript;файл;https://lisegreen.biz/22a616c101d18f...ware.Revizer.E приложение;заблокирован;DESKTOP-VV2BLVR\Ярослав;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (BE0B5318FBBCDCC9FE59BABA0BD4C791DC29595D).;F43CDB 323AC8EB670A4498BF9B1EF566E8F61E5C;
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Котик Уранчик, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
-
-
здравствуйте,
Вам знаком следующий ДНС-сервер?
185.132.176.153
HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=127.0.0.1:8099;https=127.0.0.1:8099 (enabled)
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 1http=127.0.0.1:8099;https=127.0.0.1:8099
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('c:\windows\system32\stkcsrv.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 15
Сделано.
- - - - -Добавлено - - - - -
-
Используйте пожалуйста расширеный режим, вместо того, что загружать логи в карантин.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 15
При попытке поместить в AdwCleaner программы подозрительные в карантин появляется синий экран и бук перезагружается.
-
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 15
-
My AdBlock - сами устаналивали??
Код:
R2 MyAdBlockSvc; C:\Program Files (x86)\My AdBlock\myadblock-svc.exe [6826496 2020-02-06] (Birmon Software) [File not signed]
- Закройте и сохраните все открытые приложения.
- Выделите следующий код::
Код:
Start::
CreateRestorePoint:
CloseProcesses:
Virustotal: C:\Program Files (x86)\My AdBlock\myadblock-svc.exe
Tcpip\..\Interfaces\{44ef30d8-2b91-11ea-b15c-806e6f6e6963}: [NameServer] 185.132.176.153,185.132.176.153
Tcpip\..\Interfaces\{6108613b-3db6-40ba-b1c6-0cc8008160c7}: [NameServer] 185.132.176.153,185.132.176.153
Tcpip\..\Interfaces\{e16f3bd6-ac44-4488-a102-0ead27b5c71f}: [NameServer] 185.132.176.153,185.132.176.153
Tcpip\..\Interfaces\{e6aeabf5-1c46-403d-b4a0-aa962b175f7f}: [NameServer] 185.132.176.153,185.132.176.153
CHR DefaultSearchURL: Default -> hxxp://startpage.media/?source=ext&search={searchTerms}&product=mi7_search&__PARAM__
CHR DefaultSearchKeyword: Default -> Поиск Startpage Media
CHR DefaultSuggestURL: Default -> hxxp://startpage.media/suggests.php?q={searchTerms}
File: C:\WINDOWS\impborl.dll
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [152]
FirewallRules: [UDP Query User{B97FCAF9-62E6-499E-B637-865B9C2BEABC}C:\users\ярослав\appdata\local\warthunder\win32\aces.exe] => (Allow) C:\users\ярослав\appdata\local\warthunder\win32\aces.exe No File
FirewallRules: [TCP Query User{2C1441EC-4FC0-47D9-B7B9-02303B1C7E0A}C:\users\ярослав\appdata\local\warthunder\win32\aces.exe] => (Allow) C:\users\ярослав\appdata\local\warthunder\win32\aces.exe No File
FirewallRules: [UDP Query User{FF188F8A-725C-4C26-9B60-B4F98F7EE5C0}C:\users\ярослав\appdata\local\warthunder\launcher.exe] => (Allow) C:\users\ярослав\appdata\local\warthunder\launcher.exe No File
FirewallRules: [TCP Query User{BD8E64E8-CC62-4A39-8E11-0596791EBBE0}C:\users\ярослав\appdata\local\warthunder\launcher.exe] => (Allow) C:\users\ярослав\appdata\local\warthunder\launcher.exe No File
FirewallRules: [{84B53B3C-E771-498B-8E49-8B8B4C20A016}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe No File
FirewallRules: [{971A67B5-40C5-4C58-AA64-5D0389006E25}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe No File
FirewallRules: [{4DC99A3D-6292-4430-8613-01C293D9EB44}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe No File
FirewallRules: [{612680A8-D6C0-4773-A456-B3DE2DB5B7E9}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe No File
Reboot:
End::
- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST/FRST64 (от имени администратора).
- Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 15
-
Сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 15
Сообщение больше не выскакивает. При проверке avz есть сообщения выделенные красном сообщающие о перехвате. Это критично?
- - - - -Добавлено - - - - -
И в журнале ошибки от ESET сыпятся
-
Сообщение от
Котик Уранчик
Сообщение больше не выскакивает. При проверке avz есть сообщения выделенные красном сообщающие о перехвате. Это критично?
Нет это нормальное поведение.
Сообщение от
Котик Уранчик
И в журнале ошибки от ESET сыпятся
Если в про эти:
Код:
svchost (7064,R,98) TILEREPOSITORYS-1-5-18: Error -1023 (0xfffffc01) occurred while opening logfile C:\WINDOWS\system32\config\systemprofile\AppData\Local\TileDataLayer\Database\EDB.log.
, то они нет от Eset это системные ошибки.
- - - - -Добавлено - - - - -
Согласно сторонниму источнику, для исправления ошибки, необходимо пройти на папку:
Код:
C:\Windows\system32\config\systemprofile\AppData\Local\
и в ней создать каталог TileDataLayer, войти в нее и создать другой каталог Database, после этого проблема должна уйти.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 15
Спасибо! Ура!
-
В завершение:
1.
- Пожалуйста, запустите adwcleaner.exe
- В меню Настройки - Удалить AdwCleaner - выберите Удалить.
- Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 2
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB
-