Tatarmalae Опубликовано 3 августа, 2015 Опубликовано 3 августа, 2015 Здравствуйте. В пятницу вылезло окошко от k-litle kodek pak с предложением скачать/обновить кодеки. Перешел на сайт и скачал обновление (http://files4.downloadnet1038.com/download/1185711/dl?bc=1185711&pid=softrevoz&brand=softrevoz.com&c=klite_mega&country=RU&cb=473671541&filename=K-Lite_Codec_Pack_1130_Mega_dlm.exe&productKey=lw6tkxhrkapp5a3x3tel7a4kdpaeelkx&variation=zip&osName=Windows&osVersion=7&browserName=Chrome&browserVersion=44&zTmp=1&executable=1188561) <--- файл из истории. Ну и потом на всех браузерах этот омнибокс.... Перестал вк открываться, вроде потом прошло... Kaspersky Virus Removal Tool 2015 обнаружил HEUR:Trojan.WinLNK.StartPage.gena (Файл: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk и остальные браузеры), а так же not-a-virus:AdWare.Win32.ELEX.ba (Файл: C:\Users\Coder\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D1HBANVQ\1[1].zip - Рекламное программное обеспечение) Dr.Web CureIt! Нашел Trojan.Vittalia.336 - C:\Users\Coder\AppData\Local\Temp\3efvoAGjIjloKYgT1x6\skin\res\common.js - infected with Trojan.Vittalia.336 После проверки MBAM так же нашел (C:\Users\Coder\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D1HBANVQ\1[1].zip) и Hacktool.Agent (C:\Windows\Setup\SCRIPTS\data\WindowsLoader.exe) Все удалил. Потом собрал логи. Которые и прилагаю. Спасибо заранее. CollectionLog-2015.08.03-14.22.zip
icotonev Опубликовано 3 августа, 2015 Опубликовано 3 августа, 2015 Kaspersky Virus Removal Tool 2015 обнаружил..... Dr.Web CureIt! Нашел Trojan.Vittalia.336 .... После проверки MBAM так же нашел ...... Все удалил. Потом собрал логи. Которые и прилагаю. Здравствуйте ..! Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Tatarmalae Опубликовано 3 августа, 2015 Автор Опубликовано 3 августа, 2015 Ооооо, мазила вся в баннерах... При заходе на любой сайт... Логи фарбара приложил. Addition.txt FRST.txt
icotonev Опубликовано 3 августа, 2015 Опубликовано 3 августа, 2015 Шаг 1: Фикс с Farbar Recovery Scan ToolВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: start CreateRestorePoint: CloseProcesses: GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe http://www.omniboxes.com/?type=sc&ts=1438348286&z=2b2bdab656e2f89ebc15dcag5zec2b6c1zebeoct9z&from=tti&uid=ST500DM002-1BD142_W2AP36N4XXXXW2AP36N4 C:\Users\Coder\AppData\Local\Temp\mcse32_00.dll C:\Users\Coder\AppData\Local\Temp\mcse32_01.dll C:\Users\Coder\AppData\Local\Temp\mcse64_00.dll C:\Users\Coder\AppData\Local\Temp\mcse64_01.dll C:\Users\Coder\AppData\Local\Temp\ShellHook.dll nointegritychecks: ==> Integrity Checks is disabled <===== ATTENTION emptytemp: reboot: end Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Шаг 2: Сканиране с AdwCleaner Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Шаг 3: Скачайте этот инструмент - Shortcut Cleaner После окончания проверки опубликовать файл SC-cleaner.txt Прикрепите сохраненный отчет в вашей теме. 1
Tatarmalae Опубликовано 3 августа, 2015 Автор Опубликовано 3 августа, 2015 Ребят, спасибо за оперативность) Fixlog.txt AdwCleanerR3.txt sc-cleaner.txt
icotonev Опубликовано 3 августа, 2015 Опубликовано 3 августа, 2015 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan". По окончанию сканирования снимите галочки со следующих строк: Папка Найдено : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru Папка Найдено : C:\Users\Coder\AppData\Local\Mail.Ru Нажмите кнопку "Clean" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве.
thyrex Опубликовано 3 августа, 2015 Опубликовано 3 августа, 2015 + расширение Record Page удалите в Firefox 1
Tatarmalae Опубликовано 3 августа, 2015 Автор Опубликовано 3 августа, 2015 (изменено) Мозила стала чистой (баннеры не вылазят). А что за расширение было? Омнибокс тоже исчез. Логи прилагаю. Для надежности просканировать еще? И такой вопрос был - что я поймал?))) За пароли беспокоиться нужно? Можно ли удалить папку в корне (С/FRST...) ? Спасибо за ответы. AdwCleanerS1.txt Изменено 3 августа, 2015 пользователем Tatarmalae
icotonev Опубликовано 3 августа, 2015 Опубликовано 3 августа, 2015 Record Page это browser hijacker. Скачать DelFix и запустить его.Выделите Remove disinfection tools Purge system restore ..а затем нажмите кнопку Run После завершения операции, будет создан дневник Скопируйте его и вставьте его в свой следующий ответ Инструмент удалит себя после окончания его задачу! Выполните рекомендации после лечения. 1
Tatarmalae Опубликовано 4 августа, 2015 Автор Опубликовано 4 августа, 2015 # DelFix v1.010 - Logfile created 04/08/2015 at 09:45:25 # Updated 26/04/2015 by Xplode # Username : Coder - CODER-ПК # Operating System : Windows 7 Ultimate Service Pack 1 (64 bits) ~ Removing disinfection tools ... Deleted : C:\FRST Deleted : C:\Users\Coder\Desktop\AdwCleaner[S1].txt Deleted : C:\Users\Coder\Desktop\adwcleaner_4.208.exe Deleted : C:\Users\Coder\Desktop\FRST64.exe Deleted : C:\Users\Coder\Desktop\sc-cleaner.exe Deleted : HKLM\SOFTWARE\AdwCleaner Deleted : HKLM\SOFTWARE\TrendMicro\Hijackthis ~ Cleaning system restore ... Deleted : RP #48 [Запланированная контрольная точка | 08/03/2015 16:27:14] New restore point created ! ########## - EOF - ##########
icotonev Опубликовано 4 августа, 2015 Опубликовано 4 августа, 2015 Все в порядке...Удачи и безопасной Интернет..! 2
Tatarmalae Опубликовано 4 августа, 2015 Автор Опубликовано 4 августа, 2015 Все в порядке...Удачи и безопасной Интернет..! Спасибо) Как всегда спасли) 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти