Обнаружил у себя на пк странную папку по адресу C:\ProgramData\Flock.
Заблокировал ей права доступа и на следующий день увидел вот такой адрес C:\ProgramData\Flock2.
Касперский определяет их как вирусы и в файле Flock(2).exe находи трояны, если удалить файлы касперским и/или удалить папку, то они восстанавливаются с перезагрузкой.
Браузер Flock я никогда не ставил.
Периодически открываются вкладки в хроме с "странными" новостями, как в песне "Конь людоед" группы "Кирпичи".
Прошу помочь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Dooban, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Удалите полностью устаревшую версию Autologger (с одноимённой папкой).
Скачайте актуальную версию Autologger по первой ссылке из правил и сделайте новые логи.
Прошу уточнить по удалению программ.
Программа AdShield 1.0.0.0 удалилась нормально.
Программа Chedot указала на отсутствие файла setup.exe в папке, я зашёл по пути и не нашёл вообще эту папку, после чего удалил через панель управления и программа исчезла из раздела "Приложения и возможности"(Win 10)
При попытке удалить зловред YoutubeDownloader выдаёт ошибку (скриншот во вложении в архиве). Я прошёл по указанному пути и обнаружил, что папка пуста, удалил её сочетанием клавиш "Shift+Del", запустил ещё раз удаление через Панель управления. Но ошибка так и не ушла, программа числится на ПК. Может имеет смысл удалить данные из реестра если они там есть? Или может каким-нибудь скриптиком через PowerShell прежде, чем приступать к дальнейшим действиям, описанным в Вашем посте выше.
- - - - -Добавлено - - - - -
[QUOTE=Удалите полностью устаревшую версию Autologger (с одноимённой папкой).
Скачайте актуальную версию Autologger по первой ссылке из правил и сделайте новые логи.[/QUOTE]
Как не пытался скачать по ссылке с вашего сайта, у меня не открывается она, клацаю и ничего. Может попробовать через другой браузер? Я пробую через Google Chrome 88.0.4324.150 (Официальная сборка), (64 бит).
По этому скачал с вроде как "офф сайта" производителя.
- - - - -Добавлено - - - - -
Или может вы мне актуальный сюда можете добавить в архиве? или не знаю ссылкой на я.диск или гугл.диск с доступом по ссылке?
Отключите временно встроенный антивирус ("Защитник") - у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Лог автозапуска от программы Universal Virus Sniffer вышел слишком большим для загрузки на Ваш сайт, разделенные 7z'пы он тоже не захотел принимать, так что что загрузил на диск https://disk.yandex.ru/d/0Q7lr-DNUdzilw.
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Если Вы уже закрыли приложение, запустите повторное сканирование в Malwarebytes AdwCleaner, установите в пункте меню "Настройки" (Settings) дополнительно к установленным по умолчанию галочку "Сбросить политики Chrome (Reset Chrome Policies". В разделе "Предустановленные программы" ничего не отмечайте.
Затем нажмите Карантин (Quarantine) и по окончании очистки перезагрузите систему.
После перезагрузки в меню Файлы журналов программы будет лог очистки, файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.
Во вложении лог AdwCleaner.
Во вложение не влез лог от TDSSKiller, он вроде как ничего не обнаружил, но лог на всякий случай загрузил на я.диск, ссылка: https://disk.yandex.ru/d/dyeMapxsdYCKWg.
Пока, что касается рекламы, сделайте и проверьте.
Очистите кеш и cookie: в Хроме.
в Opera: Настройки -> Безопасность -> Очистить историю посещений. Поставьте галочки "Файлы сookie и прочие данные сайтов", "Кэшированные изображения и файлы" и выберите "Уничтожить указанные элементы за следующий период:" "За последнюю неделю".
Что касается "странного" - в системе очень живучий майнер. Есть возможность загрузиться с WinPE диска, Hiren's BootCD или что-то подобное?
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Скачайте утилиту Universal Virus Sniffer отсюда.
Загрузитесь с WinPE.
Запустите файл start.exe из папки с uVS, выберите каталог Windows для анализа автозапуска вашей системы на HDD/SSD. Внимание, по умолчанию выбрана системная папка с WinPE, что бесполезно для анализа.
Используйте диалог выбора каталога Windows (выбрать из дерева каталогов системную папку), затем - "Запустить под текущим пользователем".
В главном меню программы выберите пункт: Файл - сохранить полный образ автозапуска. По запросу программы сохраните файл образа автозапуска на съемный диск для последующей загрузки во вложения к теме. Файл образа автозапуска автоматически будет упакован в архив с расширением .7z, прикрепите его к своему следующему сообщению, либо выложите на облачном сервисе и дайте ссылку.
Сообщение от Dooban
При переходе по Вашей ссылке получаю ошибку "Error 1005".
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: