Перейти к содержанию

Internet Explorer запускается сам по себе и автоматически направляет на опасные веб-адреса


Алексей Корякин

Рекомендуемые сообщения

Алексей Корякин

Мужики помогите решить проблему, первый раз с таким сталкиваюсь

подхватил вирусы...  стоял антивирусник COMODO!  после чего начал автоматически открываться сам по себе Explorer браузер, и направляет специально на опасные веб адреса, удалил COMODO так как он не смог удалить вирусы, установил Касперского, основные вирусы он  вылечил/ удалил. их я перечислю ниже:  

 

 

1. Обнаруженный объект  (системная память) вылечен. Название объекта:  Trojan.Multi.WMIRun.a

2. Обнаруженный объект ( память процесса ) удален. Название объекта:  PDM:Trojan.Win32.Bazon.a

3. Обнаруженный объект ( память процесса ) удален. Название объекта: not-a-virus:PDM:RiskTool.Win32.BitCoinMiner.g.1

 

но проблема осталась, собственно говоря при перезагрузке или просто после включения компьютера когда только загрузился рабочий стол, снова автоматом открывается Explorer, и  Касперский выдает оповещение бывает по 2-3 подряд оповещения, что заблокирован опасный веб-адрес, мой основной браузер - Chrome.

 

Жду комментариев, заранее Спасибо всем кто поможет!!! с уважением Алексей.

Изменено пользователем Алексей Корякин
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 71
  • Created
  • Последний ответ

Top Posters In This Topic

  • Алексей Корякин

    38

  • regist

    28

  • Sandor

    5

  • thyrex

    1

Алексей Корякин

 Thyrex добрый день спасибо что откликнулись, выполнил всё по инструкции

1. Провел проверку ПК, воспользовавшись Kaspersky Virus Removal Tool 2015;

2. Провел проверку с помощью AutoLogger.exe

 

 zip-архив с собранными логами прикрепляю ниже

 

С чего все началось: 

подхватил вирусы...  стоял антивирусник COMODO,  после чего начал автоматически открываться сам по себе Explorer браузер, и направляет специально на опасные веб адреса, удалил COMODO так как он не смог удалить вирусы, установил Касперского, основные вирусы он  вылечил/ удалил. их я перечислю ниже:  

 

1. Обнаруженный объект  (системная память) вылечен. Название объекта:  Trojan.Multi.WMIRun.a

2. Обнаруженный объект ( память процесса ) удален. Название объекта:  PDM:Trojan.Win32.Bazon.a

3. Обнаруженный объект ( память процесса ) удален. Название объекта: not-a-virus:PDM:RiskTool.Win32.BitCoinMiner.g.1

 

P.S: Проблема осталась, при перезагрузке или просто после включения компьютера когда только загрузился рабочий стол, снова автоматом открывается Explorer, и  Касперский выдает оповещение бывает по 2-3 подряд оповещения, что заблокирован опасный веб-адрес, так же уже после запуска Windows периодически Касперский снова выдает оповещения что заблокирован снова опасный веб адрес.  Мой основной браузер - Chrome.

 

С уважением Алексей.

CollectionLog-2017.07.06-12.36.zip

Изменено пользователем Алексей Корякин
Ссылка на сообщение
Поделиться на другие сайты
Алексей Корякин

Сейчас все оформлю как надо, спасибо

Кстати adwcleaner_6.047 НЕ ПОМОГ.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Корякин
C:\Users\Леша\AppData\Roaming\curl\

curl - как понимаю вам не знаком?

 

нет... извиняюсь... я в этих делах не специалист.... что-то серьезное?

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Леша\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (2).lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (3).lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (2).lnk', '');
 QuarantineFileF('C:\Users\Леша\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Леша\AppData\Roaming\curl\', '*', true);
 DeleteDirectory('C:\Users\Леша\AppData\Roaming\curl\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'jioyhnwxyk');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Удалите остатки Comodo  Чистка системы после некорректного удаления антивируса
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Корякин

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Леша\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (2).lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Вoйти в Интeрнет (3).lnk', '');
 QuarantineFile('C:\Users\Леша\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (2).lnk', '');
 QuarantineFileF('C:\Users\Леша\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Леша\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Леша\AppData\Roaming\curl\', '*', true);
 DeleteDirectory('C:\Users\Леша\AppData\Roaming\curl\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'jioyhnwxyk');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Удалите остатки Comodo  Чистка системы после некорректного удаления антивируса

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Regist спасибо, вроде все сделал: 

1. ссылка на анализ карантина: https://virusinfo.info/virusdetector/report.php?md5=BB8B80108354ABEFA1A8D0A98CB872AB

2. файл quarantine.zip из папки AVZ отправьил по адресу newvirus@kaspersky.com , ответ пока не пришел 

 

3. Cейчас выполню еще это:  Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Вот отчет ClearLNK: 

Пришел ответ от newvirus@kaspersky.com

 

номер клана: [KLAN-6490916182]

 

так же пришел ответ от cyberhelper@virusinfo.info

 
цитирую: 
Уважаемый пользователь! Благодарим Вас за использование сервиса VirusDetector! 

Антивирусная онлайн-проверка вашей системы завершена. Архив с карантином (MD5: BB8B80108354ABEFA1A8D0A98CB872AB) был успешно обработан системой CyberHelper.

Ознакомиться с подробными результатами анализа можно по следующим ссылкам:

 

Результаты проверки онлайн-сервисом VirusDetector » 

Обсуждение результатов проверки » 

 
Жду дальнейших указаний. Алексей

 

ClearLNK-06.07.2017_13-46.log

Изменено пользователем Алексей Корякин
Ссылка на сообщение
Поделиться на другие сайты

Не цитируйте полностью сообщение. Используйте форму быстрого ответа.

 

Удалите остатки Comodo

Удалили?

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Ждем.
Ссылка на сообщение
Поделиться на другие сайты
Алексей Корякин

делаю чистку сейчас с помощью AVG_Remover (после перезагрузки) повторно запущу Autologger


повторно Диагностику делаю через Autologger, отчет в ближайшее время прикреплю.


вот последний отчет после повторной диагностики. буду ожидать дальнейших указаний, спасибо

CollectionLog-2017.07.06-14.16.zip

Ссылка на сообщение
Поделиться на другие сайты

делаю чистку сейчас с помощью AVG_Remover

Для очистки следов Comodo нужна другая утилита.

 

Пройдитесь ей, затем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Перед выполнением скрипта AVZ антивирус отключали? AVZ запускали от имени админа?

 

В общем удалите остатки Comodo, потом повторно выполните скрипт и свежие логи Автологера.

Ссылка на сообщение
Поделиться на другие сайты
Алексей Корякин

Перед выполнением скрипта AVZ антивирус отключали? AVZ запускали от имени админа?

 

В общем удалите остатки Comodo, потом повторно выполните скрипт и свежие логи Автологера.

скачал Uninstaller Tool v0.3b для Comodo. 

Не совсем понимаю как работать в этой программе, нажимаю uninstal comodo internet security, открывается черный экран слева ( скрин прикрпеляю) 

Перед выполнением скрипта AVZ антивирус отключали? AVZ запускали от имени админа?

 

В общем удалите остатки Comodo, потом повторно выполните скрипт и свежие логи Автологера.

Антивирус отключал... программа сама задает вопрос  - вы отключили антивирус? в этот момент я его отключил на 30 минут. Блин а вот запускал программу просто двойным щелчком, надо было правой кнопкой мыши нажать и запустить от имени Админа именно?

 

делаю чистку сейчас с помощью AVG_Remover

Для очистки следов Comodo нужна другая утилита.

 

Пройдитесь ей, затем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Sandor вот отчеты от FRST, прикрепляю 

post-46503-0-42173800-1499342020_thumb.jpg

FRST.txt

Addition.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

 

 


скачал Uninstaller Tool v0.3b для Comodo. Не совсем понимаю как работать в этой программе, нажимаю uninstal comodo internet security, открывается черный экран слева ( скрин прикрпеляю)
я же дал вам ссылку на инструкцию по удалению https://safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

там и ссылка и описание

 

Официальные инструкции по удалению продуктов Comodo размещены в этой статье базы знаний.

Для автоматизации этих действий сообществом пользователей была разработана утилита Comodo Products Uninstaller Tool


Удалите Comodo через апплет Панели управления. После удаления перезагрузите компьютер и переходите к следующему пункту. Если Comodo нет в списке установленных программ, удаление Comodo не запускается или появляется ошибка при удалении Comodo, переходите к следующему пункту.
Отключите Sandbox (Песочница) / Defense+ (Щелкните правой кнопкой мыши по иконке CIS > Sandbox/Defense+ Security Level > Disable). Это позволит беспрепятственно отключить и удалить CIS и другие защищённые приложения
Загрузите утилиту для удаления Comodo
Распакуйте скаченный архив и запустите файл "Uninstaller Tool.exe" (в Windows Vista/7 запустите от имени администратора).
Выберите программу, которую вы хотите удалить и нажмите "Uninstall ***"
После завершения удаления перезагрузите компьютер.

 

 

 


Антивирус отключал... программа сама задает вопрос - вы отключили антивирус?
Задаёт Автологера, а я про выполнение скрипта лечения в AVZ. Пост №7

 

 


Блин а вот запускал программу просто двойным щелчком, надо было правой кнопкой мыши нажать и запустить от имени Админа именно?
Да.

 

 


в этот момент я его отключил на 30 минут.
Надо не на 30 минут, а Приостановить (чтобы включилась она только по вашему требованию).

Так что отключайте антивирус полностью и переделывайте.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...