vollmond 0 Опубликовано 7 ноября, 2017 Share Опубликовано 7 ноября, 2017 Здравствуйте. Помогите удалить рекламный вирус с ноутбука. Источник заражения скаченный *.exe файл сомнительного происхождения. Симптомы: в crome при кликах на открытых страницах открываются новые вкладки с рекламой вулкан и прочей ереси. В открытых страницах меняется код, добавляются левые рекламные банеры и периодически включается звук с рекламных роликов. В режиме Инкогнито все нормально. Бук стал заметно тормозить после заражения. Сканил CureIT, AVZ, AdwCleaner, Malwarebytes Anti-Malware. Каждый антивирус находил вирусню и удалял её, после удаления перезагружал бук, после я проверял каждым повторно, и он не находил ничего. И так с каждым антивирусом, но проблема сохраняется. Прикладываю логи. Благодарю за помощь. Так, не приложились логи в топик. Они тут. Также прилагаю логи FRST CollectionLog-2017.11.07-22.21.zip Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 7 ноября, 2017 Share Опубликовано 7 ноября, 2017 (изменено) Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); DeleteFile('C:\Users\vollmond\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk'); DeleteFile('C:\Users\vollmond\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk'); DeleteFile('C:\Users\vollmond\Favorites\Links\Интернет.url'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_748A13AA47A0FEC29DFD637EEF50898E'); ExecuteSysClean; ExecuteRepair(21); ExecuteFile('ipconfig', '/flushdns', 0, 10000, true); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end. Компьютер перезагрузится. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Изменено 7 ноября, 2017 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
vollmond 0 Опубликовано 7 ноября, 2017 Автор Share Опубликовано 7 ноября, 2017 Готово. CollectionLog-2017.11.07-23.56.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 8 ноября, 2017 Share Опубликовано 8 ноября, 2017 Соберите и прикрепите свежие логи FRST (все три). Цитата Ссылка на сообщение Поделиться на другие сайты
vollmond 0 Опубликовано 8 ноября, 2017 Автор Share Опубликовано 8 ноября, 2017 Готово. Shortcut.txt FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 8 ноября, 2017 Share Опубликовано 8 ноября, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-2357964621-1641258433-4096522973-1000\...\MountPoints2: G - G:\SETUP.EXE HKU\S-1-5-21-2357964621-1641258433-4096522973-1000\...\MountPoints2: {afc5dd16-7aad-11e7-a589-742f68da87e7} - G:\autorun.exe HKU\S-1-5-21-2357964621-1641258433-4096522973-1000\...\MountPoints2: {afc5de19-7aad-11e7-a589-742f68da87e7} - H:\autorun.exe GroupPolicy: Restriction <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811009 CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811009" 2017-10-11 11:46 - 2017-10-11 22:20 - 000000000 ____D C:\Users\vollmond\AppData\Local\DuckGo 2017-10-11 11:46 - 2017-10-11 11:46 - 000000000 ____D C:\Users\vollmond\AppData\LocalLow\DuckGo 2017-10-11 11:43 - 2017-10-20 17:24 - 000000000 ____D C:\Users\vollmond\AppData\Local\yc FirewallRules: [{661FAEE8-9C25-4325-BC06-F282DF1B60C9}] => (Allow) C:\Program Files\UBar\ubar.exe FirewallRules: [{4F29FEC4-C5FF-4375-BE76-6C881B152749}] => (Allow) C:\Users\vollmond\AppData\Local\yc\Application\yc.exe EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
vollmond 0 Опубликовано 10 ноября, 2017 Автор Share Опубликовано 10 ноября, 2017 Готово. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 10 ноября, 2017 Share Опубликовано 10 ноября, 2017 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
vollmond 0 Опубликовано 11 ноября, 2017 Автор Share Опубликовано 11 ноября, 2017 Да все так же, те же симптомы. нажал сейчас на кнопку "отправить" сообщение, открылся вулкан. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 ноября, 2017 Share Опубликовано 11 ноября, 2017 @vollmond, отключите в Хроме все расширения и проверьте проблему. Цитата Ссылка на сообщение Поделиться на другие сайты
vollmond 0 Опубликовано 11 ноября, 2017 Автор Share Опубликовано 11 ноября, 2017 Да, после отключения "гугловских" расширений проблема пропала. Удалить их все и скачать заново? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 ноября, 2017 Share Опубликовано 11 ноября, 2017 Включайте по одному расширению и смотрите из-за какого проблема. Название проблемного напишите здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
vollmond 0 Опубликовано 11 ноября, 2017 Автор Share Опубликовано 11 ноября, 2017 ок. Нашлось проблемное расширение. Его просто удалить через кнопку "удалить", или как-то особенно надо? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 ноября, 2017 Share Опубликовано 11 ноября, 2017 Его просто удалить через кнопку "удалить", да. + Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
vollmond 0 Опубликовано 23 ноября, 2017 Автор Share Опубликовано 23 ноября, 2017 Благодарю за помощь, проблема решилась. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.