Arts-Museum 0 Опубликовано 16 января, 2017 Share Опубликовано 16 января, 2017 Добрый день. На одном из компьютеров периодически самопроизвольно открываются рекламный страницы, прошу помочь. Заранее спасибо. CollectionLog-2017.01.16-13.03.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 16 января, 2017 Share Опубликовано 16 января, 2017 Здравствуйте,HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить O4 - HKU\S-1-5-21-1202660629-1085031214-682003330-3778\..\Run: [QIPApp] "C:\Users\katerina.solomko\AppData\Roaming\QIPApp\QIPApp.exe" O4 - HKU\S-1-5-21-1202660629-1085031214-682003330-3778\..\Run: [SafeWeb] "C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\python\pythonw.exe" "C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\ml.py" --APPNAME="SafeWeb" O4 - Startup other users: SafeWeb.lnk -> C:\Users\admin\AppData\Roaming\SafeWeb\python\pythonw.exe O22 - ScheduledTask: (Ready) SafeWeb - {root} - C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\ml.py" --APPNAME="SafeWeb" (file missing) O22 - ScheduledTask: (Ready) SafeWeb2 - {root} - C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\updater.py" (file missing) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin QuarantineFile('C:\Program Files (x86)\Common Files\iSkysoft\iSkysoft Helper Compact\ISHelper.exe',''); QuarantineFile('C:\Users\admin\AppData\Roaming\SafeWeb\python\pythonw.exe',''); QuarantineFile('c:\users\katerina.solomko\appdata\roaming\qipapp\qipapp.exe',''); QuarantineFile('C:\Users\katerina.solomko\AppData\Roaming\QIPApp\QIPApp.exe',''); QuarantineFile('C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\ml.py',''); QuarantineFile('C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\python\pythonw.exe',''); QuarantineFile('C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\updater.py',''); DeleteFile('C:\Users\admin\AppData\Roaming\SafeWeb\python\pythonw.exe','32'); DeleteFile('C:\Users\katerina.solomko\AppData\Roaming\QIPApp\QIPApp.exe','32'); DeleteFile('c:\users\katerina.solomko\appdata\roaming\qipapp\qipapp.exe','32'); DeleteFile('C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\ml.py','32'); DeleteFile('C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\python\pythonw.exe','32'); DeleteFile('C:\Users\katerina.solomko\AppData\Roaming\SafeWeb\updater.py','32'); ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SafeWeb2" /F', 0, 15000, true); RegKeyParamDel('HKEY_USERS','S-1-5-21-1202660629-1085031214-682003330-3778\Software\Microsoft\Windows\CurrentVersion\Run','QIPApp'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1202660629-1085031214-682003330-3778\Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb'); TerminateProcessByName('C:\Users\katerina.solomko\AppData\Roaming\QIPApp\QIPApp.exe'); TerminateProcessByName('c:\users\katerina.solomko\appdata\roaming\qipapp\qipapp.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Подготовьте лог AdwCleaner и приложите его в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Arts-Museum 0 Опубликовано 16 января, 2017 Автор Share Опубликовано 16 января, 2017 KLAN-5662928095 Антивирус Касперского проверил файлы. Вредоносные программы не найдены в файлах: autorun.inf ISHelper.exe qipapp.exe Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней. Спасибо, все выполнил, проблему буду мониторить. p.s. логи Adwcleaner сделаны немного раньше (до скрипта avz) т.к. сейчас Adwcleaner проблем не находит и новый лог не создает. AdwCleanerC0.txt AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 16 января, 2017 Share Опубликовано 16 января, 2017 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Arts-Museum 0 Опубликовано 17 января, 2017 Автор Share Опубликовано 17 января, 2017 Спасибо, проблема решена. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 17 января, 2017 Share Опубликовано 17 января, 2017 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: FF HKLM-x32\...\Firefox\Extensions: [ISVCU@iSkysoft.com] - C:\ProgramData\iSkysoft\Video Converter Ultimate\ISVCU@iSkysoft.com => not found FF Plugin HKU\S-1-5-21-1202660629-1085031214-682003330-3778: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\katerina.solomko\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [No File] CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-09-22] CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-07-20] C:\Users\user\AppData\Local\Temp\ose00000.exe Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Arts-Museum 0 Опубликовано 19 января, 2017 Автор Share Опубликовано 19 января, 2017 Готово. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 19 января, 2017 Share Опубликовано 19 января, 2017 Сообщите, что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Arts-Museum 0 Опубликовано 20 января, 2017 Автор Share Опубликовано 20 января, 2017 Я уже писал, что проблема решена. Еще раз спасибо ! Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 20 января, 2017 Share Опубликовано 20 января, 2017 Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).Удалите папку C:\FRST со всем содержимым. Удачи Вам! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.